Minerva: ECDSA / EdDSA енгізудегі осалдықтар сериясы

Минерва

Масарык университетінің зерттеушілері ақпарат ашты Маңызды осалдықтары туралы әртүрлі менECDSA / EdDSA цифрлық қолтаңбаны қалыптастыру алгоритмін енгізу, бұл бөгде арналар арқылы талдау әдістерін қолдану кезінде пайда болатын жекелеген биттердегі ақпараттардың ағып кетуін талдау негізінде жеке кілт мәнін қалпына келтіруге мүмкіндік береді. Осалдықтар Minerva деген кодпен аталады.

Ең танымал жобалар әсер етеді Ұсынылған шабуыл әдісі OpenJDK, OracleJDK (CVE-2019-2894) және кітапхана Libgcrypt (CVE-2019-13627) GnuPG-де қолданылады. Мәселелер кітапханаларға да сезімтал MatrixSSL, Crypto ++, қасқырCrypt, эллиптикалық, jsrsasign, Python-ECDSA, ruby_ecdsa, fastecdsa сонымен қатар кейбір смарт-карталар Athena IDProtect, TecSec брондалған картасы, SafeNet eToken 4300, жарамды S / A IDflex V.

Қазіргі уақытта айтылған осалдықтардан басқа оларға әсер етпейді OpenSSL, Botan, mbedTLS және BoringSSL. FIPS режимінде Mozilla NSS, LibreSSL, Nettle, BearSSL, cryptlib, OpenSSL. Microsoft .NET крипто, Linux ядросы libkcapi, Nodium және GnuTLS әлі тексерілмеген.

ECC-де скалярды көбейту кезінде скалярдың биттік ұзындығын жоғалтатын қондырғыларды таптық. Бұл ағып кету ұсақ болып көрінуі мүмкін, өйткені биттің ұзындығы скалярда өте аз ақпаратқа ие. Алайда, ECDSA / EdDSA қолтаңбасын құру жағдайында кездейсоқ нонның бит ұзындығын сүзу белгілі хабарламаларда бірнеше жүзден бірнеше мыңға дейін қолтаңбаларды бақылағаннан кейін пайдаланылатын жеке кілтті толық қалпына келтіру үшін жеткілікті болады. кейбір әдістерді қолдануға.

Біз барлық алдыңғы карталарға әсер етеді деп ойлаймыз, өйткені олар жалпы ECDSA компонентімен (FIPS 214 модулі) бөліседі, оны Athena OS2 ECDSA755 компоненті Inside Secure AT90SC A1.0 (микробағдарлама) ретінде сипаттайды. Біз осалдығын тек Athena IDProtect картасына CPLC және ATR деректерімен тексердік

Мәселе жеке бит мәндерін анықтау мүмкіндігімен туындайды ECC сауда-саттығы кезінде скалярға көбейту кезінде. Бит туралы ақпаратты алу үшін жанама әдістер, мысалы есептеулерді жүргізудің кешігуін бағалау қолданылады.

Шабуыл хостқа рұқсатсыз қол жеткізуді қажет етеді онда электрондық цифрлық қолтаңба жасалады (қашықтықтан шабуыл алынып тасталмайды, бірақ бұл өте күрделі және талдауға көп деректерді қажет етеді, сондықтан оны екіталай деп санауға болады).

Ағып кетудің кішігірім мөлшеріне қарамастан, ECDSA үшін инициализация векторы (nonce) туралы ақпараты бар бірнеше биттің анықтамасы толық жеке кілтті дәйекті қалпына келтіру үшін шабуыл жасау үшін жеткілікті.

Әдіс авторларының айтуынша, кілттерді сәтті қалпына келтіру үшін бірнеше жүзден бірнеше мыңға дейін жасалған цифрлық қолтаңбаларды талдау жеткілікті шабуылдаушыға белгілі хабарламалар үшін. Мысалы, secp90r256 эллиптикалық қисығын пайдаланып, Inside Secure AT1SC чипі негізінде Athena IDProtect смарт-картасында қолданылатын құпия кілтті анықтау үшін 11 мың сандық қолтаңба талданды. Шабуылдың жалпы уақыты 30 минутты құрады.

Біздің шабуыл коды мен тұжырымдаманың дәлелі Brumley & Tuveri әдісімен шабыттандырылған.

Мәселе libgcrypt 1.8.5 және wolfCrypt 4.1.0 нұсқаларында жойылған, басқа жобалар әлі жаңартуларды жасаған жоқ. Сондай-ақ, libgcrypt пакетіндегі осалдық түзетулерін осы беттердегі таралымдарда байқауға болады: Debian, Ubuntu, RHEL, Fedora, openSUSE / SUSE, FreeBSD, Arch.

Зерттеушілер басқа карталар мен кітапханаларды да сынап көрді, олардың ішінде төмендегілері осал емес:

  • OpenSSL 1.1.1d
  • BouncyCastle 1.58
  • BoringSSL 974f4dddf
  • libtomcrypt 1.18.2
  • Ботан 2.11.0
  • Microsoft CNG
  • mbedTLS 2.16.0
  • Intel IPP-крипто

Карталар

  • ACOSJ 40K
  • Feitian A22CR
  • G&D SmartCafe 6.0
  • G&D SmartCafe 7.0
  • Infineon CJTOP 80K INF SLJ 52GLA080AL M8.4
  • Infineon SLE78 әмбебап JCard картасы
  • NXP JCOP31 v2.4.1
  • NXP JCOP CJ2A081
  • NXP JCOP v2.4.2 R2
  • NXP JCOP v2.4.2 R3
  • SIMOME TaiSYS Vault

Егер сіз қолданылған шабуыл және анықталған осалдықтар туралы көбірек білгіңіз келсе, оны жасай аласыз келесі сілтеме. Шабуылды қайталау үшін қолданылатын құралдарды жүктеуге болады.


Мақаланың мазмұны біздің ұстанымдарымызды ұстанады редакторлық этика. Қате туралы хабарлау үшін нұқыңыз Мұнда.

Бірінші болып пікір айтыңыз

Пікіріңізді қалдырыңыз

Сіздің электрондық пошта мекен-жайы емес жарияланады. Міндетті өрістер таңбаланған *

*

*

  1. Деректерге жауапты: Мигель Анхель Гатан
  2. Деректердің мақсаты: СПАМ-ны басқару, түсініктемелерді басқару.
  3. Заңдылық: Сіздің келісіміңіз
  4. Деректер туралы ақпарат: заңды міндеттемелерді қоспағанда, деректер үшінші тұлғаларға жіберілмейді.
  5. Деректерді сақтау: Occentus Networks (ЕО) орналастырған мәліметтер базасы
  6. Құқықтар: Сіз кез-келген уақытта ақпаратты шектей, қалпына келтіре және жоя аласыз.