טכניקת תקיפה חדשה של ערוץ צד לשחזור מפתחות ECDSA

חוקרים מהאוניברסיטה. מסריק חָשׂוּף מידע על פגיעות ביישומים שונים של אלגוריתם יצירת חתימות דיגיטליות ECDSA/EdDSA, המאפשר לשחזר את הערך של מפתח פרטי על סמך ניתוח דליפות מידע על ביטים בודדים שצצים בעת שימוש בשיטות ניתוח של צד שלישי. הפגיעויות קיבלו את שם הקוד Minerva.

הפרויקטים הידועים ביותר שמושפעים משיטת ההתקפה המוצעת הם OpenJDK/OracleJDK (CVE-2019-2894) והספרייה libgcrypt (CVE-2019-13627) בשימוש ב-GnuPG. גם רגיש לבעיה MatrixSSL, Crypto ++, wolfCrypt, אֶלִיפְּטִי, jsrsasign, python-ecdsa, ruby_ecdsa, fastecdsa, קל-ecc וכרטיסים חכמים של Athena IDProtect. לא נבדק, אבל כרטיסי S/A חוקיים IDflex V, SafeNet eToken 4300 ו-TecSec Armored Card, המשתמשים במודול ECDSA סטנדרטי, מוכרזים גם הם כבעלי פוטנציאל פגיע.

הבעיה כבר תוקנה במהדורות של libgcrypt 1.8.5 ו-wolfCrypt 4.1.0, הפרויקטים הנותרים עדיין לא יצרו עדכונים. אתה יכול לעקוב אחר התיקון של הפגיעות בחבילת libgcrypt בהפצות בדפים אלה: דביאן, אובונטו, רהל, פדורה, openSUSE / SUSE, FreeBSD, קשת.

פגיעויות לא רגישים OpenSSL, Botan, mbedTLS ו-BoringSSL. עדיין לא נבדק Mozilla NSS, LibreSSL, Nettle, BearSSL, cryptlib, OpenSSL במצב FIPS, Microsoft .NET crypto,
libkcapi מקרנל Linux, Sodium ו-GnuTLS.

הבעיה נגרמת מהיכולת לקבוע את הערכים של ביטים בודדים במהלך הכפלה סקלרית בפעולות עקומה אליפטית. שיטות עקיפות, כמו הערכת השהיה חישובית, משמשות לחילוץ מידע סיביות. התקפה מחייבת גישה ללא הרשאות למארח שעליו נוצרת החתימה הדיגיטלית (לא לא נכללו והתקפה מרחוק, אבל היא מסובכת מאוד ודורשת כמות גדולה של נתונים לניתוח, כך שהיא יכולה להיחשב כבלתי סבירה). לטעינה זמין כלים ששימשו להתקפה.

למרות הגודל הלא משמעותי של הדליפה, עבור ECDSA די בזיהוי אפילו של כמה ביטים עם מידע על וקטור האתחול (nonce) כדי לבצע תקיפה כדי לשחזר ברצף את כל המפתח הפרטי. לטענת מחברי השיטה, כדי לשחזר מפתח בהצלחה, די בניתוח של כמה מאות עד כמה אלפי חתימות דיגיטליות שנוצרו להודעות המוכרות לתוקף. לדוגמה, נותחו 90 אלף חתימות דיגיטליות באמצעות העקומה האליפטית secp256r1 כדי לקבוע את המפתח הפרטי המשמש בכרטיס החכם Athena IDProtect המבוסס על שבב Inside Secure AT11SC. זמן ההתקפה הכולל היה 30 דקות.

מקור: OpenNet.ru