Forskere fra universitetet. Masaryk
De mest kjente prosjektene som er berørt av den foreslåtte angrepsmetoden er OpenJDK/OracleJDK (CVE-2019-2894) og biblioteket
Problemet er allerede løst i utgivelsene av libgcrypt 1.8.5 og wolfCrypt 4.1.0, de gjenværende prosjektene har ennå ikke generert oppdateringer. Du kan spore løsningen for sårbarheten i libgcrypt-pakken i distribusjoner på disse sidene:
Sårbarheter
libkcapi fra Linux-kjernen, Sodium og GnuTLS.
Problemet er forårsaket av evnen til å bestemme verdiene til individuelle biter under skalar multiplikasjon i elliptiske kurveoperasjoner. Indirekte metoder, som å estimere beregningsforsinkelse, brukes til å trekke ut bitinformasjon. Et angrep krever uprivilegert tilgang til verten som den digitale signaturen genereres på (ikke
Til tross for den ubetydelige størrelsen på lekkasjen, for ECDSA er deteksjon av til og med noen få biter med informasjon om initialiseringsvektoren (nonce) nok til å utføre et angrep for sekvensielt å gjenopprette hele den private nøkkelen. Ifølge forfatterne av metoden, for å lykkes med å gjenopprette en nøkkel, er en analyse av flere hundre til flere tusen digitale signaturer generert for meldinger kjent for angriperen tilstrekkelig. For eksempel ble 90 tusen digitale signaturer analysert ved å bruke den elliptiske kurven secp256r1 for å bestemme den private nøkkelen som ble brukt på Athena IDProtect-smartkortet basert på Inside Secure AT11SC-brikken. Den totale angrepstiden var 30 minutter.
Kilde: opennet.ru