ECDSA 키를 복구하기 위한 새로운 부채널 공격 기법

대학의 연구원. 마사리크 폭로 에 대한 정보 취약점 ECDSA/EdDSA 디지털 서명 생성 알고리즘의 다양한 구현에서 제XNUMX자 분석 방법을 사용할 때 나타나는 개별 비트에 대한 정보 유출 분석을 기반으로 개인 키의 값을 복원할 수 있습니다. 해당 취약점의 코드명은 Minerva였습니다.

제안된 공격 방법의 영향을 받는 가장 잘 알려진 프로젝트는 OpenJDK/OracleJDK(CVE-2019-2894)와 라이브러리입니다. libgcrypt (CVE-2019-13627) GnuPG에서 사용됩니다. 또한 문제에 취약함 매트릭스SSL, Crypto ++, 늑대암호, 타원형의, jsrsasign, 파이썬-ecdsa, ruby_ecdsa, fastecdsa, 쉬운 ecc 및 Athena IDProtect 스마트 카드. 테스트되지는 않았지만 표준 ECDSA 모듈을 사용하는 Valid S/A IDflex V, SafeNet eToken 4300 및 TecSec Armored Card 카드도 잠재적으로 취약한 것으로 선언되었습니다.

이 문제는 libgcrypt 1.8.5 및 WolfCrypt 4.1.0 릴리스에서 이미 수정되었으며 나머지 프로젝트는 아직 업데이트를 생성하지 않았습니다. 다음 페이지에서 배포판의 libgcrypt 패키지 취약점에 대한 수정 사항을 추적할 수 있습니다. 데비안, Ubuntu, RHEL, 페도라, 오픈 수세 / 수세, FreeBSD의, 아치.

취약점 민감하지 않다 OpenSSL, Botan, mbedTLS 및 BoringSSL. 아직 테스트되지 않음 Mozilla NSS, LibreSSL, Nettle, BearSSL, cryptlib, FIPS 모드의 OpenSSL, Microsoft .NET 암호화,
Linux 커널, Sodium 및 GnuTLS의 libkcapi.

문제는 타원곡선 연산에서 스칼라 곱셈을 하는 동안 개별 비트의 값을 결정하는 능력 때문에 발생합니다. 비트 정보를 추출하기 위해 계산 지연 추정과 같은 간접적인 방법이 사용됩니다. 공격을 위해서는 디지털 서명이 생성된 호스트에 대한 권한 없는 액세스가 필요합니다. 제외된 원격 공격이지만 매우 복잡하고 분석을 위해 많은 양의 데이터가 필요하므로 가능성이 낮다고 볼 수 있습니다). 로딩용 사용할 수있다. 공격에 사용되는 도구.

유출 규모가 미미함에도 불구하고 ECDSA의 경우 초기화 벡터(nonce)에 대한 정보가 포함된 몇 비트만 감지하면 전체 개인 키를 순차적으로 복구하는 공격을 수행하기에 충분합니다. 이 방법의 작성자에 따르면 키를 성공적으로 복구하려면 공격자에게 알려진 메시지에 대해 생성된 수백에서 수천 개의 디지털 서명을 분석하는 것으로 충분합니다. 예를 들어, Inside Secure AT90SC 칩을 기반으로 하는 Athena IDProtect 스마트 카드에 사용되는 개인 키를 확인하기 위해 secp256r1 타원 곡선을 사용하여 11개의 디지털 서명을 분석했습니다. 총 공격 시간은 30분이었다.

출처 : opennet.ru