Universiteto mokslininkai. Masarykas Informacija apie įvairiuose ECDSA/EdDSA skaitmeninio parašo kūrimo algoritmo įgyvendinimuose, kurie leidžia atkurti privataus rakto vertę remiantis informacijos apie atskirus bitus, atsirandančių naudojant trečiųjų šalių analizės metodus, nutekėjimų analize. Pažeidžiamumas buvo pavadintas Minerva.
Labiausiai žinomi projektai, kuriuos paveikė siūlomas atakos metodas, yra OpenJDK / OracleJDK (CVE-2019-2894) ir biblioteka. (CVE-2019-13627), naudojamas GnuPG. Taip pat jautrūs problemai , , , , , , , , ir Athena IDProtect intelektualiosios kortelės. Neišbandyta, tačiau galiojančios S/A IDflex V, SafeNet eToken 4300 ir TecSec Armored Card kortelės, kuriose naudojamas standartinis ECDSA modulis, taip pat paskelbtos kaip galimai pažeidžiamos.
Problema jau buvo išspręsta libgcrypt 1.8.5 ir wolfCrypt 4.1.0 leidimuose, likusieji projektai dar nesugeneravo atnaujinimų. Galite stebėti libgcrypt paketo pažeidžiamumo pataisą paskirstymuose šiuose puslapiuose: , , , , , , .
Pažeidžiamumas OpenSSL, Botan, mbedTLS ir BoringSSL. Dar neišbandyta Mozilla NSS, LibreSSL, Nettle, BearSSL, cryptlib, OpenSSL FIPS režimu, Microsoft .NET kriptovaliuta,
libkcapi iš Linux branduolio, Sodium ir GnuTLS.
Problemą sukelia galimybė nustatyti atskirų bitų reikšmes skaliarinio dauginimo metu elipsinės kreivės operacijose. Bitinei informacijai išgauti naudojami netiesioginiai metodai, tokie kaip skaičiavimo delsos įvertinimas. Atakai reikalinga neprivilegijuota prieiga prie pagrindinio kompiuterio, kuriame generuojamas skaitmeninis parašas (ne ir nuotolinė ataka, tačiau ji yra labai sudėtinga ir analizei reikia daug duomenų, todėl tai gali būti laikoma mažai tikėtina). Dėl pakrovimo puolimui naudojami įrankiai.
Nepaisant nereikšmingo nutekėjimo dydžio, ECDSA pakanka aptikti net kelis bitus su informacija apie inicijavimo vektorių (nonce), kad būtų įvykdyta ataka, siekiant nuosekliai atkurti visą privatųjį raktą. Metodo autorių teigimu, norint sėkmingai atkurti raktą, pakanka kelių šimtų iki kelių tūkstančių skaitmeninių parašų, sugeneruotų užpuolikui žinomoms žinutėms, analizės. Pavyzdžiui, 90 tūkstančių skaitmeninių parašų buvo išanalizuoti naudojant elipsinę kreivę secp256r1, siekiant nustatyti privatųjį raktą, naudojamą „Athena IDProtect“ intelektualiojoje kortelėje, pagrįstoje „Inside Secure AT11SC“ lustu. Bendras atakos laikas buvo 30 minučių.
Šaltinis: opennet.ru