Исследователи из университета им. Масарика
Наиболее известными проектами, которые затрагивает предложенный метод атаки, являются OpenJDK/OracleJDK (CVE-2019-2894) и библиотека
Проблема уже устранена в выпусках libgcrypt 1.8.5 и wolfCrypt 4.1.0, остальные проекты пока не сформировали обновления. Проследить за исправлением уязвимости в пакете libgcrypt в дистрибутивах можно на данных страницах:
കേടുപാടുകൾ
libkcapi из ядра Linux, Sodium и GnuTLS.
Проблема вызвана возможностью определения значений отдельных битов во время выполнения умножения на скаляр при операциях с эллиптической кривой. Для выделения информации о битах используются косвенные методы, такие как оценка задержки при выполнении вычислений. Для атаки необходимо наличие непривилегированного доступа к хосту, на котором выполняется генерация цифровой подписи (не
Несмотря на незначительный размер утечки, для ECDSA определения даже нескольких битов с информацией о векторе инициализации (nonce) достаточно для совершения атаки по последовательному восстановлению всего закрытого ключа. По заявлению авторов метода, для успешного восстановления ключа достаточно анализа от нескольких сотен до нескольких тысяч цифровых подписей, сгенерированных для известных атакующему сообщений. Например, для определения закрытого ключа, используемого на смарт-карте Athena IDProtect на базе чипа Inside Secure AT90SC, при использовании эллиптической кривой secp256r1 было проанализировано 11 тысяч цифровых подписей. Общее время атаки составило 30 минут.
അവലംബം: opennet.ru