Minerva: eng Serie vu Schwachstelle bei ECDSA / EdDSA Implementatiounen

Minerva

Masaryk University Fuerscher verroden Informatioun wichteg iwwer Schwachstelle bei verschidden iImplementatiounen vum ECDSA / EdDSA Algorithmus fir Digital Ënnerschrëft Generatioun, dat erlaabt de Wäert vum privaten Schlëssel ze recuperéieren baséiert op der Analyse vun Informatiounsleck op eenzel Bits déi erschéngen wann Dir Analysemethoden duerch Drëtt-Kanäl uwennt. D'Schwachstelle si mam Numm Minerva.

Déi bekanntst Projeten dat betrëfft déi proposéiert Attack Method sinn OpenJDK, OracleJDK (CVE-2019-2894) an d'Bibliothéik Libgcrypt (CVE-2019-13627) zu GnuPG benotzt. D'Problemer sinn och ufälleg fir Bibliothéiken MatrixSSL, Crypto ++, wolfCrypt, elliptesch, jsrsasign, Python-ECDSA, ruby_ecdsa, fastecdsa an och e puer Smart Cards Athena IDProtect, TecSec Armored Card, SafeNet eToken 4300, Valid S / A IDflex V.

Zousätzlech zu de Schwächen, déi de Moment erwähnt ginn, sinn se net betraff OpenSSL, Botan, mbedTLS a BoringSSL. Mozilla NSS, LibreSSL, Nettle, BearSSL, cryptlib, OpenSSL am FIPS Modus. Microsoft .NET Krypto, Linux Kernel libkcapi, Sodium a GnuTLS sinn nach net getest ginn.

Mir hunn Implementéierunge fonnt déi d'Bitellängt vun der Skalar während der skalarer Multiplikatioun an ECC verléieren. Dëse Leck kann e bëssen ausgesinn, well d'Bitellängt eng ganz kleng Informatioun an der Skalar huet. Wéi och ëmmer, am Fall vun der ECDSA / EdDSA Ënnerschrëft Generatioun ass d'Filtratioun vun der zoufälleger nonce Bitlängt genuch fir voll Erhuelung vum private Schlëssel benotzt nodeems e puer honnert bis e puer dausend Ënnerschrëften a bekannte Messagen observéiert goufen, wéinst zu der Uwendung vun e puer Techniken.

Mir gleewen datt all fréier Kaarten beaflosst sinn, well se e gemeinsamen ECDSA Komponent (FIPS 214 Modul) deelen, deen als Athena OS2 ECDSA755 Komponent am Inside Secure AT90SC A1.0 (Firmware) beschriwwe gëtt. Mir hunn d'Schwachstelle nëmmen op der Athena IDProtect Kaart mat CPLC an ATR Daten getest

De Problem gëtt verursaacht duerch d'Fäegkeet fir eenzel Bitwäerter ze bestëmmen wärend Multiplikatioun mat enger Skalar beim ECC Handel. Indirekt Methoden, wéi zum Beispill Schätzung vun der Verzögerung bei der Ausféierung vu Berechnungen, gi benotzt fir Bitinformatioun ze extrahieren.

En Attack erfuerdert onprivilegéierten Zougang zum Host an där d'digitale Ënnerschrëft generéiert gëtt (e Remote Attack ass net ausgeschloss, awer et ass ganz komplizéiert an erfuerdert eng grouss Quantitéit un Daten fir d'Analyse, dofir kann et als onwahrscheinlech ugesi ginn).

Trotz der klenger Gréisst vum Leck, fir d'ECDSA ass d'Definitioun vu souguer e puer Bits mat Informatioun iwwer den Initialiséierungsvektor (nonce) genuch fir en Ugrëff ze maachen fir de komplette private Schlëssel sequenziell ze restauréieren.

Geméiss den Autoren vun der Method, fir eng erfollegräich Schlësselwiederhuelung ass Analyse vu verschiddenen honnert bis e puer dausend generéierten digitalen Ënnerschrëften duer fir Messagen déi dem Ugräifer bekannt sinn. Zum Beispill fir de private Schlëssel ze bestëmmen, deen an der Athena IDProtect Smart Kaart baséiert op dem Inside Secure AT90SC Chip, mat der secp256r1 elliptescher Curve, goufen 11 Tausend digital Ënnerschrëfte analyséiert. Déi gesamt Attackzäit war 30 Minutten.

Eise Attack Code a Beweis vum Konzept ass inspiréiert vun der Brumley & Tuveri Method.

De Problem ass scho bei libgcrypt 1.8.5 a wolfCrypt 4.1.0 fixéiert, aner Projeten hunn nach net Updates generéiert. Et ass och méiglech de Schwachstelle fixéieren am Libgcrypt Package a Verdeelungen op dëse Säiten ze verfollegen: Debian, Ubuntu, RHEL, Fedora, openSUSE / SUSE, FreeBSD, Arch.

D'Fuerscher hunn och aner Kaarten a Bibliothéiken getest, vun deenen déi folgend net vulnérabel sinn:

  • OpenSSL 1.1.1d
  • BouncyCastle 1.58
  • BoringSSL 974f4dddf
  • libtomcrypt 1.18.2
  • Botan 2.11.0
  • Microsoft CNG
  • mbedTLS 2.16.0
  • Intel IPP-Krypto

Kaarte

  • ACS ACOSJ 40K
  • Feitian A22CR
  • G&D SmartCafe 6.0
  • G&D SmartCafe 7.0
  • Infineon CJTOP 80K INF SLJ 52GLA080AL M8.4
  • Infineon SLE78 Universal JCard
  • NXP JCOP31 v2.4.1
  • NXP JCOP CJ2A081
  • NXP JCOP v2.4.2 R2
  • NXP JCOP v2.4.2 R3
  • SIMOME TaiSYS Vault

Wann Dir méi wëllt wëssen iwwer den Ugrëff benotzt an d'Schwachstelle detektéiert, kënnt Dir dat an der folgenden Link. D'Instrumenter déi benotzt gi fir den Ugrëff ze replizéieren sinn ze downloaden.


Den Inhalt vum Artikel hält sech un eis Prinzipie vun redaktionnell Ethik. Fir e Feeler ze mellen klickt hei.

Gitt d'éischt fir ze kommentéieren

Gitt Äre Kommentar

Är Email Adress gëtt net publizéiert ginn. Néideg Felder sinn markéiert mat *

*

*

  1. Responsabel fir d'Daten: Miguel Ángel Gatón
  2. Zweck vun den Donnéeën: Kontroll SPAM, Kommentarmanagement.
  3. Legitimatioun: Är Zoustëmmung
  4. Kommunikatioun vun den Donnéeën: D'Donnéeë ginn net un Drëttubidder matgedeelt ausser duerch legal Verpflichtung.
  5. Datenspeicher: Datebank gehost vun Occentus Networks (EU)
  6. Rechter: Zu all Moment kënnt Dir Är Informatioun limitéieren, recuperéieren an läschen.