Teknika ġdida ta' Attakk tal-Kanal tal-Ġnub biex Jirkupraw Ċwievet ECDSA

Riċerkaturi mill-Università. Masaryk mikxufa informazzjoni dwar vulnerabbiltajiet f'diversi implimentazzjonijiet tal-algoritmu tal-ħolqien tal-firma diġitali ECDSA/EdDSA, li jippermettilek tirrestawra l-valur ta 'ċavetta privata bbażata fuq analiżi ta' tnixxijiet ta 'informazzjoni dwar bits individwali li joħorġu meta tuża metodi ta' analiżi ta 'partijiet terzi. Il-vulnerabbiltajiet kienu isem kodiċi Minerva.

L-aktar proġetti magħrufa li huma affettwati mill-metodu ta’ attakk propost huma OpenJDK/OracleJDK (CVE-2019-2894) u l-librerija libgcrypt (CVE-2019-13627) użat f'GnuPG. Suxxettibbli wkoll għall-problema MatrixSSL, Kripto++, wolfCrypt, ellittika, jsrsasign, python-ecdsa, ruby_ecdsa, fastecdsa, faċli-ecc u smart cards Athena IDProtect. Mhux ittestjat, iżda l-karti Valid S/A IDflex V, SafeNet eToken 4300 u TecSec Armored Card, li jużaw modulu standard ECDSA, huma wkoll iddikjarati bħala potenzjalment vulnerabbli.

Il-problema diġà ġiet iffissata fir-rilaxxi ta 'libgcrypt 1.8.5 u wolfCrypt 4.1.0, il-proġetti li fadal għadhom ma ġġenerawx aġġornamenti. Tista 'ssegwi s-soluzzjoni għall-vulnerabbiltà fil-pakkett libgcrypt fid-distribuzzjonijiet f'dawn il-paġni: Debian, Ubuntu, RHEL, Fedora, openSUSE / SUSE, FreeBSD, arch.

Vulnerabbiltajiet mhux suxxettibbli OpenSSL, Botan, mbedTLS u BoringSSL. Għadu mhux ittestjat Mozilla NSS, LibreSSL, Nettle, BearSSL, cryptlib, OpenSSL fil-modalità FIPS, Microsoft .NET crypto,
libkcapi mill-qalba tal-Linux, Sodium u GnuTLS.

Il-problema hija kkawżata mill-abbiltà li tiddetermina l-valuri ta 'bits individwali waqt il-multiplikazzjoni skalari f'operazzjonijiet ta' kurva ellittika. Metodi indiretti, bħall-istima tad-dewmien tal-komputazzjoni, jintużaw biex tiġi estratta l-informazzjoni tal-bit. Attakk jeħtieġ aċċess mhux privileġġjat għall-host li fuqu tiġi ġġenerata l-firma diġitali (mhux esklużi u attakk mill-bogħod, iżda huwa kkumplikat ħafna u jeħtieġ ammont kbir ta 'dejta għall-analiżi, għalhekk jista' jitqies improbabbli). Għat-tagħbija disponibbli għodod użati għall-attakk.

Minkejja d-daqs insinifikanti tat-tnixxija, għall-ECDSA l-iskoperta ta 'anki ftit bits b'informazzjoni dwar il-vettur tal-inizjalizzazzjoni (nonce) hija biżżejjed biex twettaq attakk biex tirkupra b'mod sekwenzjali ċ-ċavetta privata kollha. Skont l-awturi tal-metodu, biex tirkupra b'suċċess ċavetta, analiżi ta 'diversi mijiet sa diversi eluf ta' firem diġitali ġġenerati għal messaġġi magħrufa mill-attakkant hija biżżejjed. Pereżempju, 90-il elf firma diġitali ġew analizzati bl-użu tal-kurva ellittika secp256r1 biex tiddetermina ċ-ċavetta privata użata fuq l-ismart card Athena IDProtect ibbażata fuq iċ-ċippa Inside Secure AT11SC. Il-ħin totali tal-attakk kien ta’ 30 minuta.

Sors: opennet.ru