Vísindamenn frá Háskólanum. Masaryk upplýsingar um í ýmsum útfærslum á ECDSA/EdDSA reiknirit til að búa til stafrænar undirskriftir, sem gerir þér kleift að endurheimta gildi einkalykils byggt á greiningu á leka upplýsinga um einstaka bita sem koma fram þegar greiningaraðferðir þriðja aðila eru notaðar. Veikleikarnir fengu kóðanafnið Minerva.
Þekktustu verkefnin sem fyrirhuguð árásaraðferð hefur áhrif á eru OpenJDK/OracleJDK (CVE-2019-2894) og bókasafnið (CVE-2019-13627) notað í GnuPG. Einnig viðkvæm fyrir vandamálinu , , , , , , , , og Athena IDProtect snjallkort. Ekki prófað, en Gild S/A IDflex V, SafeNet eToken 4300 og TecSec Armored Card kort, sem nota staðlaða ECDSA einingu, eru einnig lýst sem hugsanlega viðkvæm.
Vandamálið hefur þegar verið lagað í útgáfum libgcrypt 1.8.5 og wolfCrypt 4.1.0, verkefnin sem eftir eru hafa ekki enn búið til uppfærslur. Þú getur fylgst með lagfæringunni fyrir varnarleysið í libgcrypt pakkanum í dreifingum á þessum síðum: , , , , , , .
Veikleikar OpenSSL, Botan, mbedTLS og BoringSSL. Ekki enn prófað Mozilla NSS, LibreSSL, Nettle, BearSSL, cryptlib, OpenSSL í FIPS ham, Microsoft .NET crypto,
libkcapi frá Linux kjarnanum, Sodium og GnuTLS.
Vandamálið stafar af getu til að ákvarða gildi einstakra bita við stigstærð margföldun í sporöskjulaga ferilaðgerðum. Óbeinar aðferðir, eins og að áætla útreikninga seinkun, eru notaðar til að draga út bitaupplýsingar. Árás krefst óforréttinda aðgangs að hýsilnum sem stafræna undirskriftin er búin til á (ekki og fjarárás, en hún er mjög flókin og krefst mikils magns af gögnum til greiningar, svo það getur talist ólíklegt). Til að hlaða verkfæri sem notuð eru til árása.
Þrátt fyrir óverulega stærð lekans er fyrir ECDSA nóg að greina jafnvel nokkra bita með upplýsingum um upphafsvigur (nonce) til að framkvæma árás til að endurheimta allan einkalykilinn í röð. Samkvæmt höfundum aðferðarinnar nægir greining á nokkur hundruð til nokkur þúsund stafrænum undirskriftum sem myndast fyrir skilaboð sem árásarmaðurinn þekkir til að endurheimta lykil. Til dæmis voru 90 þúsund stafrænar undirskriftir greindar með því að nota secp256r1 sporöskjulaga ferilinn til að ákvarða einkalykilinn sem notaður er á Athena IDProtect snjallkortinu sem byggir á Inside Secure AT11SC flísinni. Heildar sóknartíminn var 30 mínútur.
Heimild: opennet.ru