Výskumníci z univerzity. Masaryka informácie o v rôznych implementáciách algoritmu vytvárania digitálneho podpisu ECDSA/EdDSA, ktorý vám umožňuje obnoviť hodnotu súkromného kľúča na základe analýzy únikov informácií o jednotlivých bitoch, ktoré sa objavia pri použití metód analýzy tretích strán. Zraniteľnosti dostali kódové označenie Minerva.
Najznámejšie projekty, ktoré sú ovplyvnené navrhovanou metódou útoku, sú OpenJDK/OracleJDK (CVE-2019-2894) a knižnica (CVE-2019-13627) používané v GnuPG. Tiež náchylné na problém , , , , , , , , a čipové karty Athena IDProtect. Netestované, ale karty Valid S/A IDflex V, SafeNet eToken 4300 a TecSec Armored Card, ktoré používajú štandardný modul ECDSA, sú tiež vyhlásené za potenciálne zraniteľné.
Problém už bol opravený vo vydaniach libgcrypt 1.8.5 a wolfCrypt 4.1.0, zvyšné projekty ešte nevygenerovali aktualizácie. Opravu zraniteľnosti v balíku libgcrypt v distribúciách môžete sledovať na týchto stránkach: , , , , , , .
Zraniteľnosť OpenSSL, Botan, mbedTLS a BoringSSL. Zatiaľ netestované Mozilla NSS, LibreSSL, Nettle, BearSSL, cryptlib, OpenSSL v režime FIPS, šifrovanie Microsoft .NET,
libkcapi z linuxového jadra, Sodium a GnuTLS.
Problém spôsobuje schopnosť určiť hodnoty jednotlivých bitov pri skalárnom násobení pri operáciách s eliptickými krivkami. Na extrakciu bitovej informácie sa používajú nepriame metódy, ako napríklad odhad výpočtového oneskorenia. Útok vyžaduje neprivilegovaný prístup k hostiteľovi, na ktorom sa generuje digitálny podpis (nie a vzdialený útok, ale je veľmi komplikovaný a vyžaduje si veľké množstvo údajov na analýzu, takže ho možno považovať za nepravdepodobný). Na nakladanie nástroje používané na útok.
Napriek nevýznamnej veľkosti úniku stačí pre ECDSA detekcia aj niekoľkých bitov s informáciou o inicializačnom vektore (nonce) na vykonanie útoku na sekvenčnú obnovu celého súkromného kľúča. Podľa autorov metódy na úspešné obnovenie kľúča stačí analýza niekoľkých stoviek až niekoľko tisíc digitálnych podpisov vygenerovaných pre správy známe útočníkovi. Napríklad bolo analyzovaných 90 256 digitálnych podpisov pomocou eliptickej krivky secp1r11 na určenie súkromného kľúča použitého na čipovej karte Athena IDProtect založenej na čipe Inside Secure AT30SC. Celkový čas útoku bol XNUMX minút.
Zdroj: opennet.ru