Mga mananaliksik mula sa Unibersidad. Masaryk impormasyon tungkol sa sa iba't ibang pagpapatupad ng ECDSA/EdDSA digital signature creation algorithm, na nagbibigay-daan sa iyong ibalik ang halaga ng isang pribadong key batay sa pagsusuri ng mga paglabas ng impormasyon tungkol sa mga indibidwal na bit na lumalabas kapag gumagamit ng mga pamamaraan ng pagsusuri ng third-party. Ang mga kahinaan ay pinangalanang Minerva.
Ang pinakakilalang mga proyekto na apektado ng iminungkahing paraan ng pag-atake ay ang OpenJDK/OracleJDK (CVE-2019-2894) at ang library (CVE-2019-13627) na ginagamit sa GnuPG. Susceptible din sa problema , , , , , , , , at Athena IDProtect smart card. Hindi nasubok, ngunit ang Valid S/A IDflex V, SafeNet eToken 4300 at TecSec Armored Card card, na gumagamit ng karaniwang module ng ECDSA, ay idineklara din bilang potensyal na masusugatan.
Ang problema ay naayos na sa mga paglabas ng libgcrypt 1.8.5 at wolfCrypt 4.1.0, ang natitirang mga proyekto ay hindi pa nakabuo ng mga update. Maaari mong subaybayan ang pag-aayos para sa kahinaan sa libgcrypt package sa mga pamamahagi sa mga pahinang ito: , , , , , , .
Mga kahinaan OpenSSL, Botan, mbedTLS at BoringSSL. Hindi pa nasubok ang Mozilla NSS, LibreSSL, Nettle, BearSSL, cryptlib, OpenSSL sa FIPS mode, Microsoft .NET crypto,
libkcapi mula sa Linux kernel, Sodium at GnuTLS.
Ang problema ay sanhi ng kakayahang matukoy ang mga halaga ng mga indibidwal na bit sa panahon ng scalar multiplication sa mga operasyon ng elliptic curve. Ang mga hindi direktang pamamaraan, tulad ng pagtatantya ng pagkaantala sa computational, ay ginagamit upang kunin ang bit na impormasyon. Ang isang pag-atake ay nangangailangan ng walang pribilehiyong pag-access sa host kung saan nabuo ang digital na lagda (hindi at isang malayuang pag-atake, ngunit ito ay napakakumplikado at nangangailangan ng malaking halaga ng data para sa pagsusuri, kaya maaari itong ituring na hindi malamang). Para sa paglo-load kasangkapang ginagamit sa pag-atake.
Sa kabila ng hindi gaanong sukat ng pagtagas, para sa ECDSA ang pagtuklas ng kahit ilang piraso na may impormasyon tungkol sa initialization vector (nonce) ay sapat na upang magsagawa ng pag-atake upang sunud-sunod na mabawi ang buong pribadong key. Ayon sa mga may-akda ng pamamaraan, upang matagumpay na mabawi ang isang susi, sapat na ang pagsusuri ng ilang daan hanggang ilang libong digital na lagda na nabuo para sa mga mensaheng kilala ng umaatake. Halimbawa, 90 libong digital signature ang sinuri gamit ang secp256r1 elliptic curve para matukoy ang pribadong key na ginamit sa Athena IDProtect smart card batay sa Inside Secure AT11SC chip. Ang kabuuang oras ng pag-atake ay 30 minuto.
Pinagmulan: opennet.ru