Нова техника за напад на страничен канал за враќање на клучевите ECDSA

Истражувачите од Универзитетот. Масарик непокриен информации за ранливости во различни имплементации на алгоритмот за создавање дигитален потпис ECDSA/EdDSA, кој ви овозможува да ја вратите вредноста на приватниот клуч врз основа на анализа на протекување на информации за поединечни битови што се појавуваат при користење на методи за анализа од трета страна. Ранливостите беа со кодно име Минерва.

Најпознатите проекти кои се засегнати од предложениот метод на напад се OpenJDK/OracleJDK (CVE-2019-2894) и библиотеката libgcrypt (CVE-2019-13627) што се користи во GnuPG. Исто така подложни на проблемот MatrixSSL, Крипто++, wolfCrypt, елипсовидна, jsrsasign, python-ecdsa, ruby_ecdsa, fastecdsa, лесно-ecc и паметните картички Athena IDProtect. Не се тестирани, но Valid S/A IDflex V, SafeNet eToken 4300 и TecSec Armored Card картички, кои користат стандарден ECDSA модул, исто така се прогласени за потенцијално ранливи.

Проблемот е веќе поправен во изданијата на libgcrypt 1.8.5 и wolfCrypt 4.1.0, останатите проекти сè уште не генерираат ажурирања. Може да ја следите поправката за ранливоста во пакетот libgcrypt во дистрибуциите на овие страници: Debian, Ubuntu, RHEL, Fedora, openSUSE / SUSE, FreeBSD, Лак.

Ранливости не се подложни OpenSSL, Botan, mbedTLS и BoringSSL. Сè уште не е тестиран Mozilla NSS, LibreSSL, Nettle, BearSSL, cryptlib, OpenSSL во режим FIPS, Microsoft .NET крипто,
libkcapi од кернелот Линукс, Натриум и GnuTLS.

Проблемот е предизвикан од способноста да се одредат вредностите на поединечните битови за време на скаларното множење во операциите на елипсовидна крива. Индиректните методи, како што е проценката на пресметковното доцнење, се користат за извлекување на бит-информации. Нападот бара непривилегиран пристап до домаќинот на кој се генерира дигиталниот потпис (не исклучени и напад од далечина, но тој е многу комплициран и бара голема количина на податоци за анализа, па може да се смета за неверојатно). За вчитување достапни алатки кои се користат за напад.

И покрај незначителната големина на истекувањето, за ECDSA откривањето дури и на неколку битови со информации за векторот за иницијализација (не) е доволно за да се изврши напад за секвенцијално враќање на целиот приватен клуч. Според авторите на методот, за успешно враќање на клучот, доволна е анализа на неколку стотици до неколку илјади дигитални потписи генерирани за пораки познати на напаѓачот. На пример, 90 илјади дигитални потписи беа анализирани со помош на елиптичната крива secp256r1 за да се одреди приватниот клуч што се користи на паметната картичка Athena IDProtect врз основа на чипот Inside Secure AT11SC. Вкупното време на нападот беше 30 минути.

Извор: opennet.ru