๋ํ์ ์ฐ๊ตฌ์. ๋ง์ฌ๋ฆฌํฌ
์ ์๋ ๊ณต๊ฒฉ ๋ฐฉ๋ฒ์ ์ํฅ์ ๋ฐ๋ ๊ฐ์ฅ ์ ์๋ ค์ง ํ๋ก์ ํธ๋ OpenJDK/OracleJDK(CVE-2019-2894)์ ๋ผ์ด๋ธ๋ฌ๋ฆฌ์
๋๋ค.
์ด ๋ฌธ์ ๋ libgcrypt 1.8.5 ๋ฐ WolfCrypt 4.1.0 ๋ฆด๋ฆฌ์ค์์ ์ด๋ฏธ ์์ ๋์์ผ๋ฉฐ ๋๋จธ์ง ํ๋ก์ ํธ๋ ์์ง ์
๋ฐ์ดํธ๋ฅผ ์์ฑํ์ง ์์์ต๋๋ค. ๋ค์ ํ์ด์ง์์ ๋ฐฐํฌํ์ libgcrypt ํจํค์ง ์ทจ์ฝ์ ์ ๋ํ ์์ ์ฌํญ์ ์ถ์ ํ ์ ์์ต๋๋ค.
์ทจ์ฝ์
Linux ์ปค๋, Sodium ๋ฐ GnuTLS์ libkcapi.
๋ฌธ์ ๋ ํ์๊ณก์ ์ฐ์ฐ์์ ์ค์นผ๋ผ ๊ณฑ์
์ ํ๋ ๋์ ๊ฐ๋ณ ๋นํธ์ ๊ฐ์ ๊ฒฐ์ ํ๋ ๋ฅ๋ ฅ ๋๋ฌธ์ ๋ฐ์ํฉ๋๋ค. ๋นํธ ์ ๋ณด๋ฅผ ์ถ์ถํ๊ธฐ ์ํด ๊ณ์ฐ ์ง์ฐ ์ถ์ ๊ณผ ๊ฐ์ ๊ฐ์ ์ ์ธ ๋ฐฉ๋ฒ์ด ์ฌ์ฉ๋ฉ๋๋ค. ๊ณต๊ฒฉ์ ์ํด์๋ ๋์งํธ ์๋ช
์ด ์์ฑ๋ ํธ์คํธ์ ๋ํ ๊ถํ ์๋ ์ก์ธ์ค๊ฐ ํ์ํฉ๋๋ค.
์ ์ถ ๊ท๋ชจ๊ฐ ๋ฏธ๋ฏธํจ์๋ ๋ถ๊ตฌํ๊ณ ECDSA์ ๊ฒฝ์ฐ ์ด๊ธฐํ ๋ฒกํฐ(nonce)์ ๋ํ ์ ๋ณด๊ฐ ํฌํจ๋ ๋ช ๋นํธ๋ง ๊ฐ์งํ๋ฉด ์ ์ฒด ๊ฐ์ธ ํค๋ฅผ ์์ฐจ์ ์ผ๋ก ๋ณต๊ตฌํ๋ ๊ณต๊ฒฉ์ ์ํํ๊ธฐ์ ์ถฉ๋ถํฉ๋๋ค. ์ด ๋ฐฉ๋ฒ์ ์์ฑ์์ ๋ฐ๋ฅด๋ฉด ํค๋ฅผ ์ฑ๊ณต์ ์ผ๋ก ๋ณต๊ตฌํ๋ ค๋ฉด ๊ณต๊ฒฉ์์๊ฒ ์๋ ค์ง ๋ฉ์์ง์ ๋ํด ์์ฑ๋ ์๋ฐฑ์์ ์์ฒ ๊ฐ์ ๋์งํธ ์๋ช ์ ๋ถ์ํ๋ ๊ฒ์ผ๋ก ์ถฉ๋ถํฉ๋๋ค. ์๋ฅผ ๋ค์ด, Inside Secure AT90SC ์นฉ์ ๊ธฐ๋ฐ์ผ๋ก ํ๋ Athena IDProtect ์ค๋งํธ ์นด๋์ ์ฌ์ฉ๋๋ ๊ฐ์ธ ํค๋ฅผ ํ์ธํ๊ธฐ ์ํด secp256r1 ํ์ ๊ณก์ ์ ์ฌ์ฉํ์ฌ 11๊ฐ์ ๋์งํธ ์๋ช ์ ๋ถ์ํ์ต๋๋ค. ์ด ๊ณต๊ฒฉ ์๊ฐ์ 30๋ถ์ด์๋ค.
์ถ์ฒ : opennet.ru