Cercetători de la Universitate. Masaryk informatii despre în diverse implementări ale algoritmului de creare a semnăturii digitale ECDSA/EdDSA, care vă permite să restabiliți valoarea unei chei private pe baza unei analize a scurgerilor de informații despre biții individuali care apar atunci când utilizați metode de analiză terță parte. Vulnerabilitățile au fost numite de cod Minerva.
Cele mai cunoscute proiecte care sunt afectate de metoda de atac propusă sunt OpenJDK/OracleJDK (CVE-2019-2894) și biblioteca (CVE-2019-13627) utilizat în GnuPG. De asemenea, susceptibil la problemă , , , , , , , , și carduri inteligente Athena IDProtect. Nu au fost testate, dar cardurile Valid S/A IDflex V, SafeNet eToken 4300 și TecSec Armored Card, care utilizează un modul standard ECDSA, sunt, de asemenea, declarate ca potențial vulnerabile.
Problema a fost deja rezolvată în versiunile libgcrypt 1.8.5 și wolfCrypt 4.1.0, proiectele rămase nu au generat încă actualizări. Puteți urmări remedierea vulnerabilității din pachetul libgcrypt din distribuțiile din aceste pagini: , , , , , , .
Vulnerabilități OpenSSL, Botan, mbedTLS și BoringSSL. Netestat încă Mozilla NSS, LibreSSL, Nettle, BearSSL, cryptlib, OpenSSL în modul FIPS, Microsoft .NET crypto,
libkcapi din nucleul Linux, Sodium și GnuTLS.
Problema este cauzată de capacitatea de a determina valorile biților individuali în timpul înmulțirii scalare în operațiile de curbă eliptică. Metode indirecte, cum ar fi estimarea întârzierii de calcul, sunt utilizate pentru extragerea informațiilor pe biți. Un atac necesită acces neprivilegiat la gazda pe care este generată semnătura digitală (nu și un atac la distanță, dar este foarte complicat și necesită o cantitate mare de date pentru analiză, deci poate fi considerat puțin probabil). Pentru încărcare instrumentele folosite pentru atac.
În ciuda dimensiunii nesemnificative a scurgerii, pentru ECDSA detectarea chiar și a câtorva biți cu informații despre vectorul de inițializare (nonce) este suficientă pentru a efectua un atac pentru a recupera secvenţial întreaga cheie privată. Potrivit autorilor metodei, pentru a recupera cu succes o cheie, este suficientă o analiză a câteva sute până la câteva mii de semnături digitale generate pentru mesajele cunoscute de atacator. De exemplu, 90 mii de semnături digitale au fost analizate folosind curba eliptică secp256r1 pentru a determina cheia privată utilizată pe cardul inteligent Athena IDProtect bazat pe cipul Inside Secure AT11SC. Timpul total de atac a fost de 30 de minute.
Sursa: opennet.ru