Nuova tecnica di attacco tramite canali laterali, che consente di recuperare le chiavi ECDSA

I ricercatori dell'Università Masaryk hanno rivelato informazioni su vulnerabilità in diverse implementazioni dell'algoritmo di creazione della firma digitale ECDSA/EdDSA, che consentono di recuperare il valore della chiave privata basandosi sull'analisi delle informazioni che trapelano sui singoli bit, emergenti nell'uso di metodi di analisi tramite canali esterni. Le vulnerabilità hanno ricevuto il nome in codice Minerva.

I progetti più noti coinvolti dal metodo di attacco proposto includono OpenJDK/OracleJDK (CVE-2019-2894) e la libreria Libgcrypt (CVE-2019-13627), utilizzata in GnuPG. Anche MatrixSSL, Crypto++, wolfCrypt, elliptic, jsrsasign, python-ecdsa, ruby_ecdsa, fastecdsa, easy-ecc e le smart card Athena IDProtect. Non testati, ma segnalati come potenzialmente vulnerabili anche le carte Valid S/A IDflex V, SafeNet eToken 4300 e TecSec Armored Card, che utilizzano il modulo standard ECDSA.

Il problema è già stato risolto nelle versioni libgcrypt 1.8.5 e wolfCrypt 4.1.0, mentre gli altri progetti non hanno ancora rilasciato aggiornamenti. Puoi seguire la correzione della vulnerabilità nel pacchetto libgcrypt nelle distribuzioni su queste pagine: Debian, Ubuntu, RHEL, Fedora, openSUSE/SUSE, FreeBSD, Arch.

Vulnerabilità non sono vulnerabili OpenSSL, Botan, mbedTLS e BoringSSL. Non sono ancora stati testati Mozilla NSS, LibreSSL, Nettle, BearSSL, cryptlib, OpenSSL in modalità FIPS, Microsoft .NET crypto,
libkcapi dal kernel Linux, Sodium e GnuTLS.

Il problema è causato dalla possibilità di determinare i valori dei singoli bit durante l'esecuzione della moltiplicazione per uno scalare nelle operazioni con le curve ellittiche. Per estrarre informazioni sui bit vengono utilizzati metodi indiretti, come la valutazione del ritardo durante l'esecuzione dei calcoli. Per un attacco è necessario avere accesso non privilegiato all'host su cui avviene la generazione della firma digitale (non escludendo un attacco remoto, ma è notevolmente complicato e richiede un grande volume di dati per l'analisi, quindi può essere considerato poco probabile). Per caricare è disponibile il toolkit utilizzato per l'attacco.

Nonostante la piccola entità della fuga di dati, per l'identificazione ECDSA bastano anche pochi bit di informazioni sul vettore di inizializzazione (nonce) per attuare un attacco di recupero sequenziale dell'intera chiave privata. Secondo gli autori del metodo, per un ripristino efficace della chiave è sufficiente analizzare da alcune centinaia a diverse migliaia di firme digitali generate per messaggi noti all'attaccante. Ad esempio, per identificare la chiave privata utilizzata sulla smart card Athena IDProtect basata sul chip Inside Secure AT90SC, utilizzando la curva ellittica secp256r1, sono state analizzate 11.000 firme digitali. Il tempo totale dell'attacco è stato di 30 minuti.

Fonte: opennet.ru

Acquista hosting affidabile per siti web con protezione DDoS, VPS VDS server 🔥 Acquista hosting affidabile per siti web con protezione DDoS, VPS VDS server | ProHoster