Forskare från universitetet. Masaryk information om i olika implementeringar av ECDSA/EdDSA-algoritmen för skapande av digitala signaturer, som låter dig återställa värdet på en privat nyckel baserat på en analys av läckor av information om enskilda bitar som uppstår när du använder tredjepartsanalysmetoder. Sårbarheterna fick kodnamnet Minerva.
De mest kända projekten som påverkas av den föreslagna attackmetoden är OpenJDK/OracleJDK (CVE-2019-2894) och biblioteket (CVE-2019-13627) används i GnuPG. Också mottaglig för problemet , , , , , , , , och Athena IDProtect smartkort. Ej testat, men Giltigt S/A IDflex V, SafeNet eToken 4300 och TecSec Armored Card-kort, som använder en standard ECDSA-modul, förklaras också som potentiellt sårbara.
Problemet har redan åtgärdats i utgåvorna av libgcrypt 1.8.5 och wolfCrypt 4.1.0, de återstående projekten har ännu inte genererat uppdateringar. Du kan spåra korrigeringen för sårbarheten i paketet libgcrypt i distributioner på dessa sidor: , , , , , , .
Sårbarheter OpenSSL, Botan, mbedTLS och BoringSSL. Ännu ej testad Mozilla NSS, LibreSSL, Nettle, BearSSL, cryptlib, OpenSSL i FIPS-läge, Microsoft .NET-kryptering,
libkcapi från Linux-kärnan, Sodium och GnuTLS.
Problemet orsakas av förmågan att bestämma värdena för enskilda bitar under skalär multiplikation i elliptiska kurvoperationer. Indirekta metoder, såsom att uppskatta beräkningsfördröjning, används för att extrahera bitinformation. En attack kräver oprivilegierad åtkomst till den värd som den digitala signaturen genereras på (inte och en fjärrattack, men det är mycket komplicerat och kräver en stor mängd data för analys, så det kan anses osannolikt). För lastning verktyg som används för attack.
Trots den obetydliga storleken på läckan räcker för ECDSA detekteringen av till och med några få bitar med information om initialiseringsvektorn (icke) för att utföra en attack för att sekventiellt återställa hela den privata nyckeln. Enligt författarna till metoden, för att framgångsrikt återställa en nyckel, räcker det med en analys av flera hundra till flera tusen digitala signaturer som genererats för meddelanden som är kända för angriparen. Till exempel analyserades 90 tusen digitala signaturer med den elliptiska kurvan secp256r1 för att bestämma den privata nyckel som används på Athena IDProtect-smartkortet baserat på Inside Secure AT11SC-chippet. Den totala attacktiden var 30 minuter.
Källa: opennet.ru