นักวิจัยจากมหาวิทยาลัย มาซาริก ข้อมูลเกี่ยวกับ ในการใช้งานต่างๆ ของอัลกอริธึมการสร้างลายเซ็นดิจิทัล ECDSA/EdDSA ซึ่งช่วยให้คุณสามารถกู้คืนค่าของคีย์ส่วนตัวตามการวิเคราะห์การรั่วไหลของข้อมูลเกี่ยวกับแต่ละบิตที่เกิดขึ้นเมื่อใช้วิธีการวิเคราะห์ของบุคคลที่สาม ช่องโหว่นี้มีชื่อรหัสว่า Minerva
โปรเจ็กต์ที่รู้จักกันดีที่สุดที่ได้รับผลกระทบจากวิธีการโจมตีที่เสนอ ได้แก่ OpenJDK/OracleJDK (CVE-2019-2894) และไลบรารี (CVE-2019-13627) ใช้ใน GnuPG ยังอ่อนไหวต่อปัญหา , , , , , , , , และสมาร์ทการ์ด Athena IDProtect ไม่ได้ทดสอบ แต่การ์ด S/A IDflex V, SafeNet eToken 4300 และ TecSec Armored Card ที่ถูกต้อง ซึ่งใช้โมดูล ECDSA มาตรฐาน ก็ได้รับการประกาศว่ามีความเสี่ยงเช่นกัน
ปัญหาได้รับการแก้ไขแล้วในการเปิดตัว libgcrypt 1.8.5 และ wolfCrypt 4.1.0 โครงการที่เหลือยังไม่ได้สร้างการอัปเดต คุณสามารถติดตามการแก้ไขช่องโหว่ในแพ็คเกจ libgcrypt ในการเผยแพร่ในหน้าเหล่านี้: , , , , , , .
ช่องโหว่ OpenSSL, Botan, mbedTLS และ BoringSSL ยังไม่ได้ทดสอบ Mozilla NSS, LibreSSL, Nettle, BearSSL, cryptlib, OpenSSL ในโหมด FIPS, Microsoft .NET crypto,
libkcapi จากเคอร์เนล Linux, Sodium และ GnuTLS
ปัญหาเกิดจากความสามารถในการกำหนดค่าของแต่ละบิตระหว่างการคูณสเกลาร์ในการดำเนินการเส้นโค้งวงรี วิธีการทางอ้อม เช่น การประมาณค่าความล่าช้าในการคำนวณ ใช้ในการแยกข้อมูลบิต การโจมตีจำเป็นต้องมีการเข้าถึงโฮสต์ที่ไม่มีสิทธิพิเศษซึ่งสร้างลายเซ็นดิจิทัล (ไม่ใช่ และการโจมตีระยะไกลแต่มีความซับซ้อนมากและต้องใช้ข้อมูลจำนวนมากในการวิเคราะห์จึงถือว่าไม่น่าเป็นไปได้) สำหรับการโหลด เครื่องมือที่ใช้ในการโจมตี
แม้ว่าการรั่วไหลจะมีขนาดไม่มากนัก แต่สำหรับ ECDSA การตรวจจับแม้แต่บิตเล็กๆ น้อยๆ ที่มีข้อมูลเกี่ยวกับเวกเตอร์การเริ่มต้น (nonce) ก็เพียงพอที่จะทำการโจมตีเพื่อกู้คืนคีย์ส่วนตัวทั้งหมดตามลำดับ ตามที่ผู้เขียนวิธีการกู้คืนคีย์ได้สำเร็จ การวิเคราะห์ลายเซ็นดิจิทัลหลายร้อยถึงหลายพันลายเซ็นที่สร้างขึ้นสำหรับข้อความที่ผู้โจมตีรู้จักก็เพียงพอแล้ว ตัวอย่างเช่น มีการวิเคราะห์ลายเซ็นดิจิทัล 90 รายการโดยใช้เส้นโค้งวงรี secp256r1 เพื่อระบุคีย์ส่วนตัวที่ใช้บนสมาร์ทการ์ด Athena IDProtect ที่ใช้ชิป Inside Secure AT11SC เวลาโจมตีทั้งหมดคือ 30 นาที
ที่มา: opennet.ru