Обнаружен способ восстановить ключи ECDSA

Обнаружен способ восстановить ключи ECDSA

Для осуществления атаки преступник должен иметь непривилегированный доступ к хосту.

Исследователи из университета им. Масарика в Брно (Чехия) опубликовали PoC-код и подробности о нескольких уязвимостях, получивших название Minerva, в различных реализациях алгоритма создания цифровой подписи ECDSA/EdDSA. Их эксплуатация позволяет злоумышленнику восстановить значение закрытого ключа на основе анализа утечек сведений об отдельных битах, всплывающих при применении методов анализа по сторонним каналам.

Данный метод атаки затрагивает проекты OpenJDK/OracleJDK (CVE-2019-2894) и библиотеку Libgcrypt (CVE-2019-13627), применяемую в GnuPG, а также MatrixSSL, Crypto++, wolfCrypt, elliptic, jsrsasign, python-ecdsa, ruby_ecdsa, fastecdsa, easy-ecc и смарт-карты Athena IDProtect. Потенциально уязвимыми являются карты Valid S/A IDflex V, SafeNet eToken 4300 и TecSec Armored Card, которые используют типовой модуль ECDSA.

Читайте также на Posovetujte.ru:  Звезды кино, которые накачались ради роли. Фото до и после

Уязвимость связана с возможностью определения значений отдельных битов во время выполнения умножения на скаляр при операциях с эллиптической кривой. Для выделения информации о битах используется такой косвенный метод, как оценка задержки при выполнении вычислений. Для осуществления атаки преступник должен иметь непривилегированный доступ к хосту, на котором выполняется генерация цифровой подписи. Удаленная атака также возможна, однако требует большого объема данных для анализа.

Несмотря на незначительный размер утечки, для ECDSA определения даже нескольких битов с информацией о векторе инициализации (nonce) достаточно для проведения атаки по последовательному восстановлению всего закрытого ключа. По словам авторов метода, успешное восстановление ключа достигается с помощью анализа от нескольких сотен до нескольких тысяч цифровых подписей, сгенерированных для известных атакующему сообщений. Например, для определения закрытого ключа, используемого на смарт-карте Athena IDProtect на базе чипа Inside Secure AT90SC, при использовании эллиптической кривой secp256r1 было проанализировано 11 тысяч цифровых подписей. Общее время атаки составило 30 минут, пишет OpenNet.

Читайте также на Posovetujte.ru:  Тенденции моды на женственность диктует сегодня свои условия

Уязвимость исправлена в выпусках libgcrypt 1.8.5 и wolfCrypt 4.1.0, обновление для других проектов еще готовится.

Источник

Оставьте первый комментарий

Оставить комментарий