Studiues nga Universiteti. Masaryk informacion rreth në zbatime të ndryshme të algoritmit të krijimit të nënshkrimit dixhital ECDSA/EdDSA, i cili ju lejon të rivendosni vlerën e një çelësi privat bazuar në një analizë të rrjedhjeve të informacionit rreth biteve individuale që shfaqen kur përdorni metoda të analizës së palëve të treta. Dobësitë u koduan me emrin Minerva.
Projektet më të njohura që preken nga metoda e propozuar e sulmit janë OpenJDK/OracleJDK (CVE-2019-2894) dhe biblioteka (CVE-2019-13627) e përdorur në GnuPG. Gjithashtu i ndjeshëm ndaj problemit , , , , , , , , dhe kartat inteligjente Athena IDProtect. Nuk janë testuar, por kartat e vlefshme S/A IDflex V, SafeNet eToken 4300 dhe TecSec Armored Card, të cilat përdorin një modul standard ECDSA, deklarohen gjithashtu si potencialisht të cenueshme.
Problemi tashmë është rregulluar në lëshimet e libgcrypt 1.8.5 dhe wolfCrypt 4.1.0, projektet e mbetura nuk kanë gjeneruar ende përditësime. Mund të gjurmoni rregullimin për dobësinë në paketën libgcrypt në shpërndarjet në këto faqe: , , , , , , .
Dobësitë OpenSSL, Botan, mbedTLS dhe BoringSSL. Ende nuk është testuar Mozilla NSS, LibreSSL, Hithër, BearSSL, cryptlib, OpenSSL në modalitetin FIPS, kripto Microsoft .NET,
libkcapi nga kerneli Linux, Natriumi dhe GnuTLS.
Problemi shkaktohet nga aftësia për të përcaktuar vlerat e biteve individuale gjatë shumëzimit skalar në operacionet e kurbës eliptike. Metodat indirekte, të tilla si vlerësimi i vonesës llogaritëse, përdoren për të nxjerrë informacionin e bitit. Një sulm kërkon qasje të paprivilegjuar te hosti në të cilin është krijuar nënshkrimi dixhital (jo dhe një sulm në distancë, por është shumë i ndërlikuar dhe kërkon një sasi të madhe të dhënash për analizë, kështu që mund të konsiderohet e pamundur). Për ngarkim mjetet e përdorura për sulm.
Pavarësisht nga madhësia e parëndësishme e rrjedhjes, për ECDSA zbulimi i qoftë edhe disa biteve me informacion rreth vektorit të inicializimit (nonce) mjafton për të kryer një sulm për të rikuperuar në mënyrë sekuenciale të gjithë çelësin privat. Sipas autorëve të metodës, për të rikuperuar me sukses një çelës, mjafton një analizë e disa qindra deri në disa mijëra nënshkrimeve dixhitale të krijuara për mesazhet e njohura për sulmuesin. Për shembull, 90 mijë nënshkrime dixhitale u analizuan duke përdorur kurbën eliptike secp256r1 për të përcaktuar çelësin privat të përdorur në kartën inteligjente Athena IDProtect bazuar në çipin Inside Secure AT11SC. Koha totale e sulmit ishte 30 minuta.
Burimi: opennet.ru