Cilmi-baarayaal ka socda Jaamacadda Masaryk macluumaadka ku saabsan Hirgelinno kala duwan oo ku saabsan algorithm-ka saxiixa dhijitaalka ah ee ECDSA/EdDSA, qiimaha furaha gaarka ah waxaa lagu soo ceshan karaa iyadoo la falanqeynayo macluumaadka daadanaya ee ku saabsan qaybaha shaqsiga ah ee lagu muujiyay hababka falanqaynta dhinaca-kanaalka. Nuglaanta waxaa loogu magac daray Minerva.
Mashaariicda ugu caansan ee uu saameeyay habka weerarka ee la soo jeediyay waa OpenJDK/OracleJDK (CVE-2019-2894) iyo maktabadda (CVE-2019-13627), oo loo adeegsaday GnuPG. Arrinta waxaa sidoo kale saameeya , , , , , , , , iyo kaararka casriga ah ee Athena IDProtect. S/A IDflex V, SafeNet eToken 4300, iyo TecSec Armored Card, kuwaas oo isticmaala module ECDSA caadi ah, lama tijaabin laakiin sidoo kale waxaa lagu soo warramey inay yihiin kuwo nugul.
Arrinta waxaa horey loogu xalliyay libgcrypt 1.8.5 iyo wolfCrypt 4.1.0, laakiin mashaariic kale weli ma aysan soo saarin cusbooneysiin. Waxaad la socon kartaa horumarka balastar-ka nuglaanta ee xirmada libgcrypt ee qaybinta bogaggan: , , , , , , .
Nuglaanta OpenSSL, Botan, mbedTLS, iyo BoringSSL. Mozilla NSS, LibreSSL, Nettle, BearSSL, cryptlib, OpenSSL oo ku jira qaabka FIPS, iyo Microsoft .NET crypto weli lama tijaabin.
libkcapi laga bilaabo xudunta Linux, Soodiyam iyo GnuTLS.
Dhibaatadu waxay ka timaaddaa awoodda lagu go'aaminayo qiimaha bits-ka shaqsiga ah inta lagu jiro isku-dhufashada scalar ee hawlgallada qalooca elliptic. Hababka aan tooska ahayn, sida qiyaasidda daahitaanka xisaabinta, ayaa loo isticmaalaa in lagu soo saaro macluumaadka ku saabsan bits-ka. Weerarku wuxuu u baahan yahay marin aan mudnayn oo loo maro martigeliyaha halkaas oo saxiixa dijitaalka ah laga soo saarayo (ma aha iyo weerar fog, laakiin aad ayuu u adag yahay wuxuuna u baahan yahay xog badan oo loogu talagalay falanqaynta, sidaa darteed waxaa loo qaadan karaa mid aan macquul ahayn). qalabka loo isticmaalay weerarka.
Iyadoo ay yar tahay baaxadda daadinta, ECDSA, go'aaminta xitaa dhowr qaybood oo ka mid ah vector-ka bilowga ah (nonce) ayaa ku filan in la bilaabo weerar si loo soo celiyo furaha gaarka ah oo dhan. Sida laga soo xigtay qorayaasha habka, si guul leh u soo celinta furaha waxay u baahan tahay falanqaynta boqollaal ilaa kun oo saxiixyo dijitaal ah oo loo sameeyay farriimaha uu yaqaan weeraryahanku. Tusaale ahaan, si loo go'aamiyo furaha gaarka ah ee loo isticmaalay kaarka casriga ah ee Athena IDProtect iyadoo lagu saleynayo chip-ka Gudaha ee Amniga AT90SC, 11 oo saxiixyo dijitaal ah ayaa lagu falanqeeyay iyadoo la isticmaalayo qalooca elliptic ee secp256r1. Waqtiga guud ee weerarka wuxuu ahaa 30 daqiiqo.
Source: opennet.ru
