大学の研究者たち。 マサリク についての情報 ECDSA/EdDSA デジタル署名作成アルゴリズムのさまざまな実装で、サードパーティの分析手法を使用したときに発生する個々のビットに関する情報の漏洩の分析に基づいて秘密キーの値を復元できます。 この脆弱性には「Minerva」というコードネームが付けられていました。
提案された攻撃手法の影響を受ける最もよく知られたプロジェクトは、OpenJDK/OracleJDK (CVE-2019-2894) とライブラリです。 (CVE-2019-13627) GnuPG で使用されます。 問題の影響も受けやすい , , , , , , , , および Athena IDProtect スマート カード。 テストはされていませんが、標準 ECDSA モジュールを使用する有効な S/A IDflex V、SafeNet eToken 4300、および TecSec Armored Card カードも潜在的に脆弱であると宣言されています。
この問題は libgcrypt 1.8.5 と wolfCrypt 4.1.0 のリリースですでに修正されていますが、残りのプロジェクトはまだ更新を生成していません。 libgcrypt パッケージの脆弱性の修正は、次のページのディストリビューションで追跡できます。 , , , , , , .
脆弱性 OpenSSL、Botan、mbedTLS、BoringSSL。 まだテストされていません Mozilla NSS、LibreSSL、Nettle、BearSSL、cryptlib、FIPS モードの OpenSSL、Microsoft .NET 暗号化、
Linux カーネル、Sodium、および GnuTLS からの libkcapi。
この問題は、楕円曲線演算のスカラー倍算中に個々のビットの値を決定する機能によって発生します。 ビット情報を抽出するには、計算遅延の推定などの間接的な方法が使用されます。 攻撃には、デジタル署名が生成されるホストへの非特権アクセスが必要です( 遠隔攻撃も考えられますが、非常に複雑であり、分析には大量のデータが必要となるため、可能性は低いと考えられます。 積載用 攻撃に使用されるツール。
漏洩のサイズはわずかであるにもかかわらず、ECDSA の場合、初期化ベクトル (ノンス) に関する情報を含む数ビットの検出でも、秘密鍵全体を順次回復する攻撃を実行するには十分です。 この方法の作成者によると、キーを正常に回復するには、攻撃者が知っているメッセージに対して生成された数百から数千のデジタル署名を分析するだけで十分です。 たとえば、Inside Secure AT90SC チップに基づく Athena IDProtect スマート カードで使用される秘密キーを決定するために、secp256r1 楕円曲線を使用して 11 のデジタル署名が分析されました。 総攻撃時間は30分でした。
出所: オープンネット.ru