Peneliti saka Universitas. Masaryk
Proyek sing paling kondhang sing kena pengaruh metode serangan sing diusulake yaiku OpenJDK/OracleJDK (CVE-2019-2894) lan perpustakaan.
Masalah kasebut wis diatasi ing rilis libgcrypt 1.8.5 lan wolfCrypt 4.1.0, proyek sing isih ana durung ngasilake nganyari. Sampeyan bisa nglacak perbaikan kerentanan ing paket libgcrypt ing distribusi ing kaca iki:
Kerentanan
libkcapi saka kernel Linux, Sodium lan GnuTLS.
Masalah kasebut disebabake kemampuan kanggo nemtokake nilai bit individu sajrone perkalian skalar ing operasi kurva eliptik. Cara ora langsung, kayata ngira-ngira tundha komputasi, digunakake kanggo ngekstrak informasi bit. Serangan mbutuhake akses sing ora duwe hak istimewa menyang host sing digawe tandha digital (ora
Sanajan ukuran bocor sing ora pati penting, kanggo ECDSA, deteksi malah sawetara bit kanthi informasi babagan vektor initialization (nonce) cukup kanggo nindakake serangan kanggo mbalekake kabeh kunci pribadi kanthi urut. Miturut penulis metode kasebut, kanggo sukses mbalekake kunci, analisa sawetara atus nganti pirang-pirang ewu tandha digital sing digawe kanggo pesen sing dikenal penyerang cukup. Contone, 90 ewu tandha digital dianalisis nggunakake kurva eliptik secp256r1 kanggo nemtokake kunci pribadi sing digunakake ing kertu cerdas Athena IDProtect adhedhasar chip Inside Secure AT11SC. Wektu serangan total yaiku 30 menit.
Source: opennet.ru