Дослідники університету ім. Масарика
Найбільш відомими проектами, які зачіпають запропонований метод атаки, є OpenJDK/OracleJDK (CVE-2019-2894) та бібліотека
Проблема вже усунена у випусках libgcrypt 1.8.5 та wolfCrypt 4.1.0, решта проектів поки не сформувала оновлення. Простежити за виправленням уразливості в пакеті libgcrypt у дистрибутивах можна на цих сторінках:
Вразливості
libkcapi з ядра Linux, Sodium та GnuTLS.
Проблема спричинена можливістю визначення значень окремих бітів під час виконання множення на скаляр при операціях з еліптичною кривою. Для виділення інформації про біти використовують непрямі методи, такі як оцінка затримки при виконанні обчислень. Для атаки потрібна наявність непривілейованого доступу до хоста, на якому виконується генерація цифрового підпису (не
Незважаючи на незначний розмір витоку, для ECDSA визначення навіть кількох бітів з інформацією про вектор ініціалізації (nonce) достатньо для атаки по послідовному відновленню всього закритого ключа. За заявою авторів методу, для успішного відновлення ключа достатньо аналізу від кількох сотень до кількох тисяч цифрових підписів, згенерованих для відомих атакуючих повідомлень. Наприклад, для визначення закритого ключа, який використовується на смарт-карті Athena IDProtect на базі чіпа Inside Secure AT90SC, під час використання еліптичної кривої secp256r1 було проаналізовано 11 тисяч цифрових підписів. Загальний час атаки становив 30 хвилин.
Джерело: opennet.ru