Naukowcy z Uniwersytetu. Masaryka
Najbardziej znane projekty, na które wpływa proponowana metoda ataku, to OpenJDK/OracleJDK (CVE-2019-2894) i biblioteka
Problem został już rozwiązany w wydaniach libgcrypt 1.8.5 i wolfCrypt 4.1.0, pozostałe projekty nie wygenerowały jeszcze aktualizacji. Możesz śledzić poprawkę luki w pakiecie libgcrypt w dystrybucjach na tych stronach:
Luki w zabezpieczeniach
libkcapi z jądra Linuksa, Sodium i GnuTLS.
Problem wynika z możliwości określenia wartości poszczególnych bitów podczas mnożenia skalarnego w operacjach na krzywych eliptycznych. Do wyodrębnienia informacji bitowych stosuje się metody pośrednie, takie jak szacowanie opóźnienia obliczeniowego. Atak wymaga nieuprzywilejowanego dostępu do hosta, na którym generowany jest podpis cyfrowy (nie
Pomimo nieznacznej wielkości wycieku, dla ECDSA wykrycie nawet kilku bitów z informacją o wektorze inicjującym (nonce) wystarczy, aby przeprowadzić atak mający na celu sekwencyjne odzyskanie całego klucza prywatnego. Zdaniem autorów metody, aby skutecznie odzyskać klucz, wystarczy analiza kilkuset do kilku tysięcy podpisów cyfrowych wygenerowanych pod wiadomościami znanymi atakującemu. Przykładowo, za pomocą krzywej eliptycznej secp90r256 przeanalizowano 1 tys. podpisów cyfrowych w celu ustalenia klucza prywatnego używanego na karcie inteligentnej Athena IDProtect opartej na chipie Inside Secure AT11SC. Całkowity czas ataku wynosił 30 minut.
Źródło: opennet.ru