来自大学的研究人员。 马萨里克 相关信息 在 ECDSA/EdDSA 数字签名创建算法的各种实现中,该算法允许您根据使用第三方分析方法时出现的各个位的信息泄漏分析来恢复私钥的值。 这些漏洞的代号为 Minerva。
受拟议攻击方法影响的最知名项目是 OpenJDK/OracleJDK (CVE-2019-2894) 和库 (CVE-2019-13627) 用于 GnuPG。 也容易出现问题 , , , , , , , , 和 Athena IDProtect 智能卡。 未经测试,但使用标准 ECDSA 模块的 Valid S/A IDflex V、SafeNet eToken 4300 和 TecSec Armored Card 卡也被声明为存在潜在漏洞。
该问题已在 libgcrypt 1.8.5 和 WolfCrypt 4.1.0 版本中得到修复,其余项目尚未生成更新。 您可以在以下页面上跟踪发行版中 libgcrypt 包中漏洞的修复: , , , , , , .
漏洞 OpenSSL、Botan、mbedTLS 和 BoringSSL。 尚未测试 Mozilla NSS、LibreSSL、Nettle、BearSSL、cryptlib、FIPS 模式下的 OpenSSL、Microsoft .NET crypto、
来自 Linux 内核、Sodium 和 GnuTLS 的 libkcapi。
该问题是由椭圆曲线运算中标量乘法期间确定各个位的值的能力引起的。 间接方法(例如估计计算延迟)用于提取比特信息。 攻击需要对生成数字签名的主机(不是 还有远程攻击,但非常复杂,需要大量数据进行分析,所以可以认为可能性不大)。 用于装载 用于攻击的工具。
尽管泄漏的规模微不足道,但对于 ECDSA 来说,即使检测到一些带有初始化向量(随机数)信息的位,也足以执行攻击以顺序恢复整个私钥。 根据该方法的作者的说法,要成功恢复密钥,对攻击者已知的消息生成的数百到数千个数字签名进行分析就足够了。 例如,使用 secp90r256 椭圆曲线分析了 1 个数字签名,以确定基于 Inside Secure AT11SC 芯片的 Athena IDProtect 智能卡上使用的私钥。 总攻击时间为30分钟。
来源: opennet.ru