Minerva: ECDSA / EdDSA inplementazioen ahultasun sorta

Minerva

Masaryk Unibertsitateko ikertzaileek informazioa agerian utzi zuten garrantzitsua en ahultasunak hainbat iECDSA / EdDSA sinadura digitalaren sorkuntza algoritmoaren ezarpenak. horrek gako pribatuaren balioa berreskuratzea ahalbidetzen du hirugarrenen kanalen bidez analisi metodoak aplikatzean agertzen diren bit indibidualen informazio ihesen analisian oinarrituta. Ahultasunek Minerva izena dute.

Proiektu ospetsuenak eragiten dutenak proposatutako eraso metodoa dira OpenJDK, OracleJDK (CVE-2019-2894) eta liburutegia Libgcrypt (CVE-2019-13627) GnuPG-n erabiltzen da. Arazoak dira liburutegientzat ere sentikorra MatrixSSL, Crypto ++, wolfCrypt, eliptikoa, jsrsasign, Python-ECDSA, ruby_ecdsa, fastecdsa eta txartel adimendun batzuk ere bai Athena IDProtect, TecSec blindatu txartela, SafeNet eToken 4300, baliozko S / A IDflex V.

Une honetan aipatutako ahultasunez gain ez dute eraginik OpenSSL, Botan, mbedTLS eta BoringSSL. Mozilla NSS, LibreSSL, Nettle, BearSSL, cryptlib, OpenSSL FIPS moduan. Microsoft .NET crypto, Linux kernel libkcapi, Sodium eta GnuTLS oraindik ez dira probatu.

Biderketa eskalarraren zehar eskalarraren bit luzera galtzen duten inplementazioak aurkitu ditugu ECCn. Ihes hori txikia dela dirudi, bitaren luzerak informazio eskala oso txikia baitu. Hala ere, ECDSA / EdDSA sinadura sortzearen kasuan, ausazko ezaren bit-luzera iragaztea nahikoa da erabilitako gako pribatua erabat berreskuratzeko, ezagutzen diren mezuetako ehun batzuetatik milaka sinadura behatu ondoren, ondorioz zenbait teknika aplikatzera.

Uste dugu aurreko txartel guztiek eragina dutela ECDSA osagai komuna (FIPS 214 modulua) partekatzen dutelako, Athena OS2 ECDSA755 osagaia Inside Secure AT90SC A1.0 (Firmware) atalean deskribatzen delako. Ahultasuna Athena IDProtect txartelean bakarrik probatu dugu CPLC eta ATR datuekin

Arazoa bit balio indibidualak zehazteko gaitasunak sortzen du bider eskala bidez biderkatzen den bitartean ECC merkataritzan. Zeharkako metodoak, hala nola kalkuluak egitean atzerapena kalkulatzea, erabiltzen dira bit informazioa ateratzeko.

Erasoak pribilegiorik gabeko sarbidea behar du ostalarian bertan sinadura digitala sortzen da (urruneko eraso bat ez da baztertzen, baina oso konplikatua da eta datu kopuru handia eskatzen du analisirako, beraz, nekez jo daiteke).

Ihesaren tamaina txikia izan arren, ECDSArentzat hasierako bektoreari (nonce) buruzko informazioa duten bit batzuen definizioa nahikoa da gako pribatu osoa sekuentzialki leheneratzeko eraso bat egiteko.

Metodoaren egileen arabera, gakoen berreskurapen arrakastatsua lortzeko, nahikoa da sortutako hainbat eta hainbat mila sinadura digitalen analisia erasotzaileak ezagutzen dituen mezuetarako. Adibidez, Athena IDProtect txartel adimenduan Inside Secure AT90SC txipean oinarritutako erabilitako gako pribatua zehazteko, secp256r1 kurba eliptikoa erabiliz, 11 mila sinadura digital aztertu ziren. Erasorako guztizko denbora 30 minutukoa izan zen.

Gure eraso kodea eta kontzeptuaren froga Brumley & Tuveri metodoan inspiratuta daude.

Arazoa dagoeneko konpondu da libgcrypt 1.8.5 eta wolfCrypt 4.1.0 bertsioetan, beste proiektu batzuek oraindik ez dute eguneratzerik sortu. Libgcrypt paketean zaurgarritasun konponketa orri hauetako banaketetan trazatzea ere posible da: Debian, Ubuntu, RHEL, Fedora, openSUSE / SUSE, FreeBSD, Arkua.

Ikertzaileek beste txartel eta liburutegi batzuk ere probatu zituzten, eta horietatik hauek ez dira zaurgarriak:

  • OpenSSL 1.1.1d
  • BouncyCastle 1.58
  • BoringSSL 974f4dddf
  • libtomcrypt 1.18.2
  • Botan 2.11.0
  • Microsoft CNG
  • mbedTLS 2.16.0
  • Intel IPP-Crypto

Txartelak

  • ACS ACOSJ 40K
  • Feitian A22CR
  • G&D SmartCafe 6.0
  • G&D SmartCafe 7.0
  • Infineon CJTOP 80K INF SLJ 52GLA080AL M8.4
  • Infineon SLE78 Universal JCard
  • NXP JCOP31 v2.4.1
  • NXP JCOP CJ2A081
  • NXP JCOP v2.4.2 R2
  • NXP JCOP v2.4.2 R3
  • SIMOME TaiSYS Ganga

Erabilitako erasoari eta detektatutako ahultasunari buruz gehiago jakin nahi baduzu, egin dezakezu honako esteka. Erasoa errepikatzeko erabilitako tresnak deskargatzeko moduan daude.


Artikuluaren edukia gure printzipioekin bat dator etika editoriala. Akats baten berri emateko egin klik hemen.

Idatzi lehenengo iruzkina

Utzi zure iruzkina

Zure helbide elektronikoa ez da argitaratuko. Beharrezko eremuak markatuta daude *

*

*

  1. Datuen arduraduna: Miguel Ángel Gatón
  2. Datuen xedea: SPAM kontrolatzea, iruzkinen kudeaketa.
  3. Legitimazioa: Zure baimena
  4. Datuen komunikazioa: datuak ez zaizkie hirugarrenei jakinaraziko legezko betebeharrez izan ezik.
  5. Datuak biltegiratzea: Occentus Networks-ek (EB) ostatatutako datu-basea
  6. Eskubideak: Edonoiz zure informazioa mugatu, berreskuratu eta ezabatu dezakezu.