ניו זייַט טשאַננעל אַטאַק טעכניק צו צוריקקריגן ECDSA קיז

פאָרשער פון דער אוניווערסיטעט. מסריק אַנטדעקט אינפֿאָרמאַציע וועגן וואַלנעראַביליטיז אין פאַרשידן ימפּלאַמאַנץ פון די ECDSA / EdDSA דיגיטאַל כסימע שאַפונג אַלגערידאַם, וואָס אַלאַוז איר צו ומקערן די ווערט פון אַ פּריוואַט שליסל באזירט אויף אַן אַנאַליסיס פון ליקס פון אינפֿאָרמאַציע וועגן יחיד ביטן וואָס ימערדזשד ווען ניצן דריט-פּאַרטיי אַנאַליסיס מעטהאָדס. די וואַלנעראַביליטיז זענען קאָדענאַמעד מינערוואַ.

די מערסט באַוווסט פּראַדזשעקס וואָס זענען אַפעקטאַד דורך די פארגעלייגט באַפאַלן אופֿן זענען OpenJDK / OracleJDK (CVE-2019-2894) און די ביבליאָטעק ליבגקריפּט (CVE-2019-13627) געניצט אין GnuPG. אויך סאַסעפּטאַבאַל צו דעם פּראָבלעם מאַטריקססל, קריפּטאָ ++, wolfCrypt, יליפּטיש, jsrsasign, פּיטהאָן-עקדסאַ, ruby_ecdsa, fastecdsa, גרינג-עקק און Athena IDProtect קלוג קאַרדס. ניט טעסטעד, אָבער גילטיק S/A IDflex V, SafeNet eToken 4300 און TecSec אַרמערד קאַרד קאַרדס, וואָס נוצן אַ נאָרמאַל ECDSA מאָדולע, זענען אויך דערקלערט ווי פּאַטענטשאַלי שפּירעוודיק.

דער פּראָבלעם איז שוין פאַרפעסטיקט אין די ריליסיז פון libgcrypt 1.8.5 און wolfCrypt 4.1.0, די רוען פּראַדזשעקס האָבן נישט נאָך דזשענערייטאַד דערהייַנטיקונגען. איר קענען שפּור די פאַרריכטן פֿאַר די וואַלנעראַביליטי אין די libgcrypt פּעקל אין דיסטריביושאַנז אויף די בלעטער: דעביאַן, ובונטו, rhel, פעדאָראַ, openSUSE / SUSE, FreeBSD, אַרטש.

וואַלנעראַביליטיז ניט סאַסעפּטאַבאַל OpenSSL, Botan, mbedTLS און BoringSSL. ניט נאָך טעסטעד מאָזיללאַ NSS, LibreSSL, Nettle, BearSSL, cryptlib, OpenSSL אין FIPS מאָדע, Microsoft .NET קריפּטאָ,
libkcapi פֿון די לינוקס קערן, סאָדיום און GnuTLS.

דער פּראָבלעם איז געפֿירט דורך די פיייקייט צו באַשטימען די וואַלועס פון יחיד ביטן בעשאַס סקאַלאַר קייפל אין יליפּטיקאַל ויסבייג אַפּעריישאַנז. ומדירעקט מעטהאָדס, אַזאַ ווי עסטימאַטינג קאַמפּיוטיישאַנאַל פאַרהאַלטן, זענען געניצט צו עקסטראַקט ביסל אינפֿאָרמאַציע. אַ באַפאַלן ריקווייערז אַנפּריווילאַדזשאַד אַקסעס צו דער באַלעבאָס אויף וואָס די דיגיטאַל כסימע איז דזשענערייטאַד (ניט ויסשליסן און אַ ווייַט באַפאַלן, אָבער עס איז זייער קאָמפּליצירט און ריקווייערז אַ גרויס סומע פון ​​דאַטן פֿאַר אַנאַליסיס, אַזוי עס איז אַנלייקלי. פֿאַר לאָודינג בנימצא מכשירים געניצט פֿאַר באַפאַלן.

טראָץ די נישטיק גרייס פון די רינען, פֿאַר ECDSA די דיטעקשאַן פון אפילו אַ ביסל ביטן מיט אינפֿאָרמאַציע וועגן די יניטיאַליזאַטיאָן וועקטאָר (נאָנס) איז גענוג צו דורכפירן אַ באַפאַלן צו סאַקווענטשאַלי צוריקקריגן די גאנצע פּריוואַט שליסל. לויט די מחברים פון דעם אופֿן, צו הצלחה צוריקקריגן אַ שליסל, אַן אַנאַליסיס פון עטלעכע הונדערט צו עטלעכע טויזנט דיגיטאַל סיגנאַטשערז דזשענערייטאַד פֿאַר אַרטיקלען באקאנט צו די אַטאַקער איז גענוג. למשל, 90 טויזנט דיגיטאַל סיגנאַטשערז זענען אַנאַלייזד מיט די secp256r1 יליפּטיק ויסבייג צו באַשליסן די פּריוואַט שליסל געניצט אויף די Athena IDProtect סמאַרט קאַרטל באזירט אויף די Inside Secure AT11SC שפּאָן. די גאַנץ אַטאַק צייט איז געווען 30 מינוט.

מקור: opennet.ru