PuTTY, cliens popularis SSH in catasta Fenestra, periculosam vulnerabilitatem habet (CVE-2024-31497) quae clavis privatim utentis recreari permittit utens algorithmus NIST P-521 Curva Elliptica ECDSA (ecdsa-sha2-nistp521). Clavem privatam eligere, satis est ad analysim circiter 60 signaturas digitales ab clave problematicae generatas.
vulnerabilitas ex versione PutTY 0.68 proficisci videtur et etiam afficit productos qui versiones vulnerabiles PutTY includunt, exempli gratia, FileZilla (3.24.1 - 3.66.5), WinSCP (5.9.5 - 6.3.2), TortoiseGit (2.4.0.2 - 2.15.0) et TortoiseSVN (1.10.0 - 1.14.6). Quaestionem in PuTTY 0.81 fixa, FileZilla 3.67.0, WinSCP 6.3.3 et TortoiseGit 2.15.0.1 updates. Inauguratis renovationibus, monentur utentes ut novas claves generarent et veteres claves publicas ab eorum authenticis fasciculis removerent.
Vulnerabilitas causatur ex incuria tincidunt, qui vectoris initializationis usus est (nonce) innixa in serie 521 frenum temere ad generandum clavem 512 frenum, probabiliter credens entropy 512 frena satis esse ac reliqua 9 frena. non maximi momenti sunt. Quam ob rem in omnibus privatis clavibus in PUTTY creatis algorithmus ecdsa-sha2-nistp521 utens, primus 9 frusta vectoris initializationis nulla bona semper accepit.
Nam ECDSA et DSA, qualis numerus generantis pseudorandom et totus coverage parametri usus est in calculando modulo per temere datam, maximi momenti est, cum determinatio etiam paucorum cum informationibus de vectore initializationis satis est ad portandum. impetum continue recuperare totum privatum clavem. Ad clavem feliciter recuperandam, satis est habere clavem publicam et nonnullas duodecim signaturas digitales analyses generatas utentes clavem problematicam pro notitia impugnantis nota. Impetum descendit ad problema solvendum HNP (Problema Number occultatum) problema.
Necessariae subscriptiones digitales obtineri possunt, exempli gratia, cum usor coniungit cum servo oppugnatoris SSH vel cum servo Git qui SSH utitur ut onerariis. Subscriptiones ad oppugnationem requisitae etiam inveniri possunt si clavem datam arbitrariam cognoscere adhibitam, exempli gratia, git committit cum agente Pageant SSH utens ad redirectum mercaturam exercitui elit. Adipiscendae notitiae necessariae ad clavem per impetum MITM recuperandam impossibile est, cum subscriptiones in SSH in textu perspicuo non transmittantur.
Notatur similem usum vectoris initializationis incompletae adhibitum esse in PUTTY pro aliis generibus curvarum ellipticarum, sed pro algorithmis praeter ECDSA P-521, per scillam informationem inde non satis ad effectum deducendi opera clavium recuperandi impetus. ECDSA claves aliarum magnitudinum et claves Ed25519 non susceptibiles sunt.
Source: opennet.ru