Minerva: یک سری آسیب پذیری در پیاده سازی های ECDSA / EdDSA

الهه

محققان دانشگاه Masaryk اطلاعاتی را فاش کردند مهم درباره آسیب پذیری ها در متنوع منپیاده سازی الگوریتم تولید امضای دیجیتال ECDSA / EdDSA ، که اجازه می دهد مقدار کلید خصوصی را براساس تجزیه و تحلیل نشت اطلاعات در بیت های منفرد که هنگام استفاده از روش های تجزیه و تحلیل از طریق کانال های شخص ثالث ظاهر می شوند ، بازیابی کنید. این آسیب پذیری ها با نام رمز Minerva شناخته می شوند.

معروف ترین پروژه ها که تأثیر می گذارد روش حمله پیشنهادی OpenJDK ، OracleJDK (CVE-2019-2894) و کتابخانه لیگگریپت (CVE-2019-13627) مورد استفاده در GnuPG. مشکلات همچنین به کتابخانه ها حساس است MatrixSSL ، Crypto ++ ، wolfCrypt ، elliptical ، jsrsasign ، Python-ECDSA ، ruby_ecdsa ، fastecdsa و همچنین برخی کارت های هوشمند Athena IDProtect ، کارت زرهی TecSec ، SafeNet eToken 4300 ، Valid S / A IDflex V.

علاوه بر آسیب پذیری های ذکر شده در حال حاضر تحت تأثیر قرار نمی گیرند OpenSSL ، Botan ، mbedTLS و BoringSSL. Mozilla NSS ، LibreSSL ، Nettle ، BearSSL ، cryptlib ، OpenSSL در حالت FIPS. Microsoft .NET رمزنگاری ، هسته لینوکس libkcapi ، سدیم و GnuTLS هنوز آزمایش نشده اند.

ما پیاده سازی هایی را پیدا کرده ایم که طول بیت اسکالر را در هنگام ضرب اسکالر در ECC از دست می دهند. این نشت ممکن است کوچک به نظر برسد زیرا طول بیت دارای اطلاعات بسیار کمی در اسکالر است. با این حال ، در مورد تولید امضاهای ECDSA / EdDSA ، فیلتر کردن طول بیت nonce تصادفی برای بازیابی کامل کلید خصوصی مورد استفاده پس از مشاهده چند صد تا چند هزار امضا در پیام های شناخته شده کافی است ، به دلیل به استفاده از برخی از تکنیک ها.

ما معتقدیم که همه کارتهای فوق تحت تأثیر قرار می گیرند زیرا آنها دارای یک جز component مشترک ECDSA (ماژول FIPS 214) هستند که به عنوان Athena OS2 ECDSA755 Component در Inside Secure AT90SC A1.0 (سیستم عامل) توصیف می شود. ما این آسیب پذیری را فقط روی کارت Athena IDProtect با داده های CPLC و ATR آزمایش کرده ایم

این مشکل به دلیل توانایی تعیین مقادیر کمی بیت ایجاد می شود در هنگام ضرب با یک اسکالر در معاملات ECC. برای استخراج اطلاعات از بیت ها ، از روش های غیرمستقیم مانند تخمین تأخیر در انجام محاسبات استفاده می شود.

حمله نیاز به دسترسی غیرمحرمانه به میزبان دارد که در آن امضای دیجیتال تولید می شود (حمله از راه دور مستثنی نیست ، اما بسیار پیچیده است و برای تجزیه و تحلیل به مقدار زیادی داده نیاز دارد ، بنابراین می توان آن را بعید دانست).

با وجود کوچک بودن نشت ، برای ECDSA تعریف حتی چند بیت با اطلاعات مربوط به بردار مقداردهی اولیه (nonce) برای انجام حمله برای بازیابی متوالی کلید خصوصی کامل کافی است.

به گفته نویسندگان این روش ، برای بازیابی موفقیت آمیز کلید ، تجزیه و تحلیل چند صد تا چند هزار امضای دیجیتالی تولید شده کافی است برای پیامهای شناخته شده برای مهاجم. به عنوان مثال ، برای تعیین کلید خصوصی استفاده شده در کارت هوشمند Athena IDProtect بر اساس تراشه Inside Secure AT90SC ، با استفاده از منحنی بیضوی secp256r1 ، 11 هزار امضای دیجیتال مورد تجزیه و تحلیل قرار گرفت. کل زمان حمله 30 دقیقه بود.

کد حمله و اثبات مفهوم ما از روش بروملی و تووری الهام گرفته شده است.

این مشکل قبلاً در libgcrypt 1.8.5 و wolfCrypt 4.1.0 برطرف شده است، سایر پروژه ها هنوز به روزرسانی نکرده اند. همچنین می توان رفع آسیب پذیری موجود در بسته libgcrypt را در توزیع های موجود در این صفحات ردیابی کرد: دبیان, اوبونتو, ریل, کلاه نمدی مردانه, openSUSE / SUSE, FreeBSD, قوس

محققان همچنین کارتها و کتابخانه های دیگری را آزمایش کردند که موارد زیر آسیب پذیر نیستند:

  • OpenSSL 1.1.1d
  • BouncyCastle 1.58
  • BoringSSL 974f4dddf
  • libtomcrypt 1.18.2
  • Botan 2.11.0
  • مایکروسافت CNG
  • mbedTLS 2.16.0
  • Intel IPP-Crypto

کارت

  • ACS ACOSJ 40K
  • Feitian A22CR
  • G&D SmartCafe 6.0
  • G&D SmartCafe 7.0
  • Infineon CJTOP 80K INF SLJ 52GLA080AL M8.4
  • JCard جهانی Infineon SLE78
  • NXP JCOP31 نسخه 2.4.1
  • NXP JCOP CJ2A081
  • NXP JCOP نسخه 2.4.2 R2
  • NXP JCOP نسخه 2.4.2 R3
  • SIMOME TaiSYS خرک

اگر می خواهید در مورد حمله استفاده شده و آسیب پذیری های شناسایی شده بیشتر بدانید ، می توانید این کار را در قسمت لینک زیر ابزارهای مورد استفاده برای تکثیر حمله برای بارگیری در دسترس هستند.


محتوای مقاله به اصول ما پیوست اخلاق تحریریه. برای گزارش یک خطا کلیک کنید اینجا.

اولین کسی باشید که نظر

نظر خود را بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخشهای موردنیاز علامتگذاری شدهاند با *

*

*

  1. مسئول داده ها: میگل آنخل گاتون
  2. هدف از داده ها: کنترل هرزنامه ، مدیریت نظرات.
  3. مشروعیت: رضایت شما
  4. ارتباط داده ها: داده ها به اشخاص ثالث منتقل نمی شوند مگر با تعهد قانونی.
  5. ذخیره سازی داده ها: پایگاه داده به میزبانی شبکه های Occentus (EU)
  6. حقوق: در هر زمان می توانید اطلاعات خود را محدود ، بازیابی و حذف کنید.