Fuerscher vun der Universitéit. Masaryk Informatiounen iwwer a verschiddenen Implementatiounen vun der ECDSA / EdDSA digital Ënnerschrëft Kreatioun Algorithmus, déi erlaabt Iech de Wäert vun engem private Schlëssel baséiert op enger Analyse vun Auslafe vun Informatiounen iwwert eenzel Stécker ze restauréieren, déi entstoen wann drëtt-Partei Analyse Methoden benotzt. D'Schwieregkeeten goufen de Codenumm Minerva genannt.
Déi bekanntst Projeten, déi vun der proposéierter Attackmethod betraff sinn, sinn OpenJDK/OracleJDK (CVE-2019-2894) an d'Bibliothéik (CVE-2019-13627) am GnuPG benotzt. Och ufälleg fir de Problem , , , , , , , , an Athena IDProtect Smart Kaarten. Net getest, awer Valid S/A IDflex V, SafeNet eToken 4300 an TecSec Armored Card Kaarten, déi e Standard ECDSA Modul benotzen, ginn och als potenziell vulnérabel deklaréiert.
De Problem ass schonn an de Releases vu libgcrypt 1.8.5 a wolfCrypt 4.1.0 fixéiert ginn, déi verbleiwen Projeten hunn nach keng Updates generéiert. Dir kënnt de Fix fir d'Schwachheet am libgcrypt Package an Distributiounen op dëse Säiten verfollegen: , , , , , , .
Schwachstelle OpenSSL, Botan, mbedTLS a BoringSSL. Nach net getest Mozilla NSS, LibreSSL, Nettle, BearSSL, cryptlib, OpenSSL am FIPS Modus, Microsoft .NET Krypto,
libkcapi vum Linux Kernel, Sodium a GnuTLS.
De Problem gëtt verursaacht duerch d'Fäegkeet fir d'Wäerter vun eenzelne Bits während der scalar Multiplikatioun an elliptesch Curve Operatiounen ze bestëmmen. Indirekt Methoden, sou wéi Berechnungsverzögerung schätzen, gi benotzt fir Bitinformatioun ze extrahieren. En Attack erfuerdert onprivilegéierten Zougang zum Host op deem d'digitale Ënnerschrëft generéiert gëtt (net an e Fernattack, awer et ass ganz komplizéiert a erfuerdert eng grouss Quantitéit un Daten fir d'Analyse, also kann et onwahrscheinlech ugesi ginn). Fir Luede Tools fir Attacke benotzt.
Trotz der onbedeitender Gréisst vum Leck ass fir ECDSA d'Detektioun vu souguer e puer Bits mat Informatioun iwwer den Initialiséierungsvektor (nonce) genuch fir en Attack auszeféieren fir de ganze private Schlëssel sequenziell ze recuperéieren. Laut den Auteuren vun der Method, fir e Schlëssel erfollegräich ze recuperéieren, ass eng Analyse vun e puer honnert bis e puer dausend digital Ënnerschrëfte generéiert fir Messagen, déi dem Ugräifer bekannt sinn, genuch. Zum Beispill goufen 90 Tausend digital Ënnerschrëfte mat der secp256r1 elliptesch Curve analyséiert fir de private Schlëssel ze bestëmmen deen op der Athena IDProtect Smart Card baséiert baséiert op dem Inside Secure AT11SC Chip. D'total Attack Zäit war 30 Minutten.
Source: opennet.ru