Ricercatori dell'Università. Masaryk
I progetti più noti interessati dal metodo di attacco proposto sono OpenJDK/OracleJDK (CVE-2019-2894) e la libreria
Il problema è già stato risolto nelle versioni di libgcrypt 1.8.5 e wolfCrypt 4.1.0, i restanti progetti non hanno ancora generato aggiornamenti. Puoi tenere traccia della correzione della vulnerabilità nel pacchetto libgcrypt nelle distribuzioni su queste pagine:
Vulnerabilità
libkcapi dal kernel Linux, Sodium e GnuTLS.
Il problema è causato dalla capacità di determinare i valori dei singoli bit durante la moltiplicazione scalare nelle operazioni su curva ellittica. Per estrarre informazioni sui bit vengono utilizzati metodi indiretti, come la stima del ritardo computazionale. Un attacco richiede l'accesso non privilegiato all'host su cui viene generata la firma digitale (non
Nonostante le dimensioni insignificanti della fuga di dati, per ECDSA è sufficiente il rilevamento anche di pochi bit con informazioni sul vettore di inizializzazione (nonce) per effettuare un attacco volto a recuperare in sequenza l'intera chiave privata. Secondo gli autori del metodo, per recuperare con successo una chiave è sufficiente l'analisi di diverse centinaia o diverse migliaia di firme digitali generate per messaggi noti all'aggressore. Ad esempio, sono state analizzate 90mila firme digitali utilizzando la curva ellittica secp256r1 per determinare la chiave privata utilizzata sulla smart card Athena IDProtect basata sul chip Inside Secure AT11SC. Il tempo totale di attacco è stato di 30 minuti.
Fonte: opennet.ru