Masaryki ülikooli teadlased avaldasid teavet oluline turvaaukude kohta erinevad iECDSA / EdDSA digitaalallkirja genereerimise algoritmi rakendused, mis võimaldab privaatvõtme väärtuse taastada üksikute bitide infolekete analüüsi põhjal, mis ilmnevad analüüsimeetodite rakendamisel kolmandate osapoolte kanalite kaudu. Haavatavused kannavad koodnime Minerva.
Kõige kuulsamad projektid mis mõjutavad kavandatud rünnakumeetod on OpenJDK, OracleJDK (CVE-2019-2894) ja raamatukogu libgcrypt (CVE-2019-13627), mida kasutatakse GnuPG-s. Probleemid on vastuvõtlik ka raamatukogudele MatrixSSL, Crypto ++, wolfCrypt, elliptiline, jsrsasign, Python-ECDSA, ruby_ecdsa, fastecdsa ja ka mõned kiipkaardid Athena IDProtect, soomustatud kaart TecSec, SafeNet eToken 4300, kehtiv S / A IDflex V
Lisaks hetkel mainitud haavatavustele neid ei mõjutata OpenSSL, Botan, mbedTLS ja BoringSSL. Mozilla NSS, LibreSSL, Nettle, BearSSL, cryptlib, OpenSSL FIPS-režiimis. Microsofti .NETi krüptot, Linuxi tuuma libkcapi, Sodium ja GnuTLS tuleb veel testida.
Oleme leidnud rakendused, mis kaotavad skalaari biti pikkuse skalaari korrutamise ajal ECC-s. See leke võib tunduda tühine, kuna bitipikkusel on skalaaris väga vähe teavet. ECDSA / EdDSA allkirja genereerimise korral piisab juhusliku nonce bittide pikkuse filtreerimisest pärast privaatsõnade täielikku taastamist, mida kasutatakse pärast mõnesaja kuni mõne tuhande allkirja jälgimist teadaolevates sõnumites. mõne tehnika rakendamiseks.
Usume, et see mõjutab kõiki eelmisi kaarte, kuna neil on ühine ECDSA komponent (FIPS 214 moodul), mida kirjeldatakse Athena OS2 ECDSA755 komponendina dokumendis Inside Secure AT90SC A1.0 (püsivara). Oleme haavatavust testinud ainult Athena IDProtecti kaardil koos CPLC ja ATR andmetega
Probleemi põhjustab võime määrata üksikuid bittväärtusi korrutamisel skalaariga ECC kauplemise ajal. Bittinfo eraldamiseks kasutatakse kaudseid meetodeid, näiteks arvutuste tegemise viivituse hindamine.
Rünnak nõuab privileegita juurdepääsu hostile milles genereeritakse digitaalallkiri (kaugrünnak pole välistatud, kuid see on väga keeruline ja nõuab analüüsimiseks suurt hulka andmeid, seetõttu võib seda pidada ebatõenäoliseks).
Hoolimata lekke väiksusest, on ECDSA jaoks piisav isegi mõne bitti määratlus initsialiseerimisvektori (nonce) kohta, et rünnata kogu privaatvõti järjestikku.
Meetodi autorite sõnul võtme edukaks taastamiseks piisab mitmesaja kuni mitme tuhande loodud digitaalallkirja analüüsist ründajale teadaolevate sõnumite jaoks. Näiteks Athena IDProtecti kiipkaardil Inside Secure AT90SC kiibil põhineva privaatvõtme määramiseks, kasutades elliptilist kõverat secp256r1, analüüsiti 11 tuhat digitaalallkirja. Rünnakute kogu aeg oli 30 minutit.
Meie rünnakukood ja kontseptsioonitõend on inspireeritud Brumley & Tuveri meetodist.
Probleem on juba lahendatud versioonides libgcrypt 1.8.5 ja wolfCrypt 4.1.0, muud projektid pole veel värskendusi loonud. Nendel lehtedel levitatuna on võimalik jälgida ka paketi libgcrypt haavatavuse parandust: Debian, Ubuntu, RHEL, Fedora, openSUSE / SUSE, FreeBSD, Arch.
Teadlased testisid ka muid kaarte ja raamatukogusid, millest järgmised pole haavatavad:
- OpenSSL 1.1.1d
- Hüppeloss 1.58
- IgavSSL 974f4dddf
- libtomcrypt 1.18.2
- Botaanik 2.11.0
- Microsofti CNG
- mbedTLS 2.16.0
- Inteli IPP-krüpto
Kaardid
- STV ACOSJ 40K
- Feitian A22CR
- G&D SmartCafe 6.0
- G&D SmartCafe 7.0
- Infineon CJTOP 80K INF SLJ 52GLA080AL M8.4
- Infineon SLE78 universaalne JCard
- NXP JCOP31 v2.4.1
- NXP JCOP CJ2A081
- NXP JCOP v2.4.2 R2
- NXP JCOP v2.4.2 R3
- SIMOME TaiSYS Vault
Kui soovite rohkem teada kasutatud rünnaku ja tuvastatud haavatavuste kohta, saate seda teha järgmine link. Rünnaku kopeerimiseks kasutatavad tööriistad on allalaadimiseks saadaval.