Penyelidik dari Universiti. Masaryk maklumat tentang dalam pelbagai pelaksanaan algoritma penciptaan tandatangan digital ECDSA/EdDSA, yang membolehkan anda memulihkan nilai kunci persendirian berdasarkan analisis kebocoran maklumat tentang bit individu yang muncul apabila menggunakan kaedah analisis pihak ketiga. Kerentanan itu diberi nama kod Minerva.
Projek paling terkenal yang dipengaruhi oleh kaedah serangan yang dicadangkan ialah OpenJDK/OracleJDK (CVE-2019-2894) dan perpustakaan (CVE-2019-13627) digunakan dalam GnuPG. Juga terdedah kepada masalah , , , , , , , , dan kad pintar Athena IDProtect. Tidak diuji, tetapi kad S/A IDflex V yang Sah, SafeNet eToken 4300 dan Kad Berperisai TecSec, yang menggunakan modul ECDSA standard, juga diisytiharkan sebagai berpotensi terdedah.
Masalahnya telah pun dibetulkan dalam keluaran libgcrypt 1.8.5 dan wolfCrypt 4.1.0, projek selebihnya belum lagi menghasilkan kemas kini. Anda boleh menjejaki pembetulan untuk kelemahan dalam pakej libgcrypt dalam pengedaran pada halaman ini: , , , , , , .
Kelemahan OpenSSL, Botan, mbedTLS dan BoringSSL. Belum diuji Mozilla NSS, LibreSSL, Nettle, BearSSL, cryptlib, OpenSSL dalam mod FIPS, Microsoft .NET crypto,
libkcapi daripada kernel Linux, Sodium dan GnuTLS.
Masalahnya disebabkan oleh keupayaan untuk menentukan nilai bit individu semasa pendaraban skalar dalam operasi lengkung eliptik. Kaedah tidak langsung, seperti menganggarkan kelewatan pengiraan, digunakan untuk mengekstrak maklumat bit. Serangan memerlukan akses tanpa hak kepada hos yang mana tandatangan digital dijana (bukan dan serangan jauh, tetapi ia sangat rumit dan memerlukan sejumlah besar data untuk analisis, jadi ia boleh dianggap tidak mungkin). Untuk memuatkan alat yang digunakan untuk menyerang.
Walaupun saiz kebocoran yang tidak ketara, untuk ECDSA pengesanan walaupun beberapa bit dengan maklumat tentang vektor pemula (bukan sekali) sudah cukup untuk melakukan serangan untuk memulihkan keseluruhan kunci peribadi secara berjujukan. Menurut pengarang kaedah itu, untuk berjaya memulihkan kunci, analisis beberapa ratus hingga beberapa ribu tandatangan digital yang dijana untuk mesej yang diketahui oleh penyerang adalah mencukupi. Sebagai contoh, 90 ribu tandatangan digital dianalisis menggunakan lengkung eliptik secp256r1 untuk menentukan kunci peribadi yang digunakan pada kad pintar Athena IDProtect berdasarkan cip Inside Secure AT11SC. Jumlah masa serangan ialah 30 minit.
Sumber: opennet.ru