ECDSA की पुनर्प्राप्त करण्यासाठी नवीन साइड चॅनल हल्ला तंत्र

विद्यापीठातील संशोधक. मासारिक उघड च्या विषयी माहिती असुरक्षा ECDSA/EdDSA डिजिटल स्वाक्षरी निर्मिती अल्गोरिदमच्या विविध अंमलबजावणीमध्ये, जे तृतीय-पक्ष विश्लेषण पद्धती वापरताना प्रकट होणाऱ्या वैयक्तिक बिट्सच्या माहितीच्या लीकच्या विश्लेषणावर आधारित खाजगी कीचे मूल्य पुनर्संचयित करण्याची परवानगी देते. असुरक्षिततेला मिनर्व्हा असे सांकेतिक नाव देण्यात आले.

प्रस्तावित हल्ला पद्धतीमुळे प्रभावित झालेले सर्वात प्रसिद्ध प्रकल्प म्हणजे OpenJDK/OracleJDK (CVE-2019-2894) आणि लायब्ररी लिबक्रिप्ट (CVE-2019-13627) GnuPG मध्ये वापरले. समस्या देखील संवेदनाक्षम मॅट्रिक्सएसएसएल, क्रिप्टो++, wolfCrypt, लंबवर्तुळाकार, jsrssign, python-ecdsa, ruby_ecdsa, fastecdsa, सोपे-ईसीसी आणि Athena IDProtect स्मार्ट कार्ड. चाचणी केलेली नाही, परंतु वैध S/A IDflex V, SafeNet eToken 4300 आणि TecSec आर्मर्ड कार्ड कार्ड, जे मानक ECDSA मॉड्यूल वापरतात, ते देखील संभाव्य असुरक्षित म्हणून घोषित केले जातात.

libgcrypt 1.8.5 आणि wolfCrypt 4.1.0 च्या रिलीझमध्ये समस्या आधीच निश्चित केली गेली आहे, उर्वरित प्रकल्पांनी अद्याप अद्यतने व्युत्पन्न केलेली नाहीत. तुम्ही या पृष्ठांवर वितरणांमध्ये libgcrypt पॅकेजमधील भेद्यतेसाठी निराकरणाचा मागोवा घेऊ शकता: डेबियन, उबंटू, रहेल, Fedora, ओपनस्सु / सुसे, FreeBSD, कमान.

भेद्यता संवेदनाक्षम नाही OpenSSL, Botan, mbedTLS आणि BoringSSL. अद्याप Mozilla NSS, LibreSSL, Nettle, BearSSL, cryptlib, OpenSSL ची FIPS मोडमध्ये चाचणी केलेली नाही, Microsoft .NET क्रिप्टो,
लिनक्स कर्नल, सोडियम आणि GnuTLS पासून libkcapi.

लंबवर्तुळाकार वक्र ऑपरेशनमध्ये स्केलर गुणाकार दरम्यान वैयक्तिक बिट्सची मूल्ये निर्धारित करण्याच्या क्षमतेमुळे समस्या उद्भवते. अप्रत्यक्ष पद्धती, जसे की संगणकीय विलंबाचा अंदाज लावणे, बिट माहिती काढण्यासाठी वापरल्या जातात. आक्रमणासाठी ज्या होस्टवर डिजिटल स्वाक्षरी तयार केली जाते त्या होस्टवर अनप्रिव्हिलेज्ड ऍक्सेस आवश्यक आहे (नाही वगळलेले आणि रिमोट अटॅक, परंतु हे खूप क्लिष्ट आहे आणि विश्लेषणासाठी मोठ्या प्रमाणात डेटा आवश्यक आहे, म्हणून ते संभवनीय मानले जाऊ शकते). लोडिंगसाठी उपलब्ध हल्ल्यासाठी वापरलेली साधने.

गळतीचे क्षुल्लक आकार असूनही, ECDSA साठी प्रारंभिक व्हेक्टर (नॉन्स) बद्दल माहितीसह अगदी काही बिट्स शोधणे, संपूर्ण खाजगी की क्रमवारपणे पुनर्प्राप्त करण्यासाठी आक्रमण करण्यासाठी पुरेसे आहे. पद्धतीच्या लेखकांच्या मते, यशस्वीरित्या की पुनर्प्राप्त करण्यासाठी, आक्रमणकर्त्याला ज्ञात असलेल्या संदेशांसाठी व्युत्पन्न केलेल्या अनेक शंभर ते अनेक हजार डिजिटल स्वाक्षरींचे विश्लेषण पुरेसे आहे. उदाहरणार्थ, इनसाइड सिक्योर AT90SC चिपवर आधारित Athena IDProtect स्मार्ट कार्डवर वापरलेली खाजगी की निर्धारित करण्यासाठी secp256r1 लंबवर्तुळ वक्र वापरून 11 हजार डिजिटल स्वाक्षरींचे विश्लेषण केले गेले. एकूण हल्ल्याची वेळ 30 मिनिटे होती.

स्त्रोत: opennet.ru