Cilmi-baarayaal ka socda Jaamacadda. Masaryk macluumaadka ku saabsan Hirgelinta kala duwan ee ECDSA/EdDSA saxeexa dhijitaalka ah ee abuuritaanka algorithm, kaas oo kuu ogolaanaya inaad soo celiso qiimaha furaha gaarka ah ee ku salaysan falanqaynta daadinta macluumaadka ku saabsan qaniinyada shakhsi ahaaneed ee soo baxa marka la isticmaalayo hababka falanqaynta dhinac saddexaad. Nuglaanta waxaa lagu magacaabay Minerva.
Mashaariicda ugu caansan ee uu saameeyay habka weerarka la soo jeediyay waa OpenJDK/OracleJDK (CVE-2019-2894) iyo maktabadda (CVE-2019-13627) loo adeegsaday GnuPG. Sidoo kale u nugul dhibaatada , , , , , , , , iyo Athena IDProtect smart cards. Lama tijaabin, laakiin Valid S/A IDflex V, SafeNet eToken 4300 iyo TecSec kaadhadhka gaashaaman, kuwaas oo isticmaala moduleka caadiga ah ee ECDSA, ayaa sidoo kale lagu dhawaaqay inay yihiin kuwo nugul.
Dhibaatadu mar hore ayaa lagu hagaajiyay siidaynta libgcrypt 1.8.5 iyo wolfCrypt 4.1.0, mashaariicda haray ayaan wali soo saarin cusbooneysiin. Waxaad la socon kartaa hagaajinta nuglaanta ee xirmada libgcrypt ee qaybinta boggagan: , , , , , , .
Nuglaanta OpenSSL, Botan, mbedTLS iyo BoringSSL. Weli lama tijaabin Mozilla NSS, LibreSSL, Nettle, BearSSL, cryptlib, OpenSSL qaabka FIPS, Microsoft .NET crypto,
libkcapi ka Linux kernel, Sodium iyo GnuTLS.
Dhibaatada waxaa sababa awoodda lagu go'aamiyo qiyamka qashin-qubka shakhsi ahaaneed inta lagu jiro isku-dhufashada scalar ee hawlgallada qalooca elliptical. Hababka aan tooska ahayn, sida qiyaasida daahitaanka xisaabinta, ayaa loo isticmaalaa in lagu soo saaro macluumaadka yar. Weerarku wuxuu u baahan yahay galaangal aan munaasib ahayn oo loo galo martigeliyaha kaas oo saxiixa dhijitaalka ah lagu soo saaray (maya iyo weerar fog, laakiin waa mid aad u adag oo u baahan qadar badan oo xog ah si loo falanqeeyo, sidaas darteed waxaa loo tixgelin karaa mid aan macquul ahayn). Wixii rarista qalabka loo isticmaalo weerarka.
In kasta oo ay le'eg tahay cabbirka daadku, ECDSA ogaanshaha xitaa xoogaa xoogaa macluumaad ah oo ku saabsan vector-ka bilawga ah (aan lahayn) ayaa ku filan in lagu qaado weerar si isdaba joog ah loogu soo celiyo dhammaan furaha gaarka ah. Sida laga soo xigtay qorayaasha habka, si loo si guul leh u soo kabsado furaha, falanqaynta dhowr boqol ilaa dhowr kun oo saxeex dijital ah oo loo sameeyay farriimaha loo yaqaan weeraryahanku waa ku filan. Tusaale ahaan, 90 kun oo saxeex dhijitaal ah ayaa la falanqeeyay iyadoo la adeegsanayo qalooca elliptical sec256r1 si loo go'aamiyo furaha gaarka ah ee loo isticmaalo kaarka smart Athena IDProtect ee ku salaysan Inside Secure AT11SC chip. Wadarta wakhtiga weerarku waxa uu ahaa 30 daqiiqo.
Source: opennet.ru