Pesquisadores da Universidade. Masaryk
Os projetos mais conhecidos afetados pelo método de ataque proposto são OpenJDK/OracleJDK (CVE-2019-2894) e a biblioteca
O problema já foi corrigido nas versões libgcrypt 1.8.5 e wolfCrypt 4.1.0, os demais projetos ainda não geraram atualizações. Você pode acompanhar a correção da vulnerabilidade no pacote libgcrypt nas distribuições nestas páginas:
Vulnerabilidades
libkcapi do kernel Linux, Sodium e GnuTLS.
O problema é causado pela capacidade de determinar os valores de bits individuais durante a multiplicação escalar em operações de curva elíptica. Métodos indiretos, como estimativa de atraso computacional, são usados para extrair informações de bits. Um ataque requer acesso sem privilégios ao host no qual a assinatura digital é gerada (não
Apesar do tamanho insignificante do vazamento, para o ECDSA a detecção de até mesmo alguns bits com informações sobre o vetor de inicialização (nonce) é suficiente para realizar um ataque para recuperar sequencialmente toda a chave privada. Segundo os autores do método, para recuperar uma chave com sucesso, é suficiente uma análise de várias centenas a vários milhares de assinaturas digitais geradas para mensagens conhecidas do invasor. Por exemplo, 90 mil assinaturas digitais foram analisadas usando a curva elíptica secp256r1 para determinar a chave privada usada no cartão inteligente Athena IDProtect baseado no chip Inside Secure AT11SC. O tempo total de ataque foi de 30 minutos.
Fonte: opennet.ru