Истраживачи са Универзитета Масарик открили су информације важно о рањивостима у разни иИмплементације ЕЦДСА / ЕдДСА алгоритма за генерисање дигиталног потписа, који омогућава враћање вредности приватног кључа на основу анализе цурења информација на појединачним битовима који се појављују приликом примене метода анализе путем независних канала. Рањивости имају кодно име Минерва.
Најпознатији пројекти који утичу предложени метод напада су ОпенЈДК, ОрацлеЈДК (ЦВЕ-2019-2894) и библиотеку Либгцрипт (ЦВЕ-2019-13627) који се користи у ГнуПГ-у. Проблеми су такође подложан библиотекама МатрикССЛ, Црипто ++, волфЦрипт, елиптични, јсрсасигн, Питхон-ЕЦДСА, руби_ецдса, фастецдса а такође и неке паметне картице Атхена ИДПротецт, ТецСец оклопна картица, СафеНет еТокен 4300, важећа С / А ИДфлек В.
Поред рањивости које су поменуте у овом тренутку, оне нису погођене ОпенССЛ, Ботан, мбедТЛС и БорингССЛ. Мозилла НСС, ЛибреССЛ, Коприва, БеарССЛ, цриптлиб, ОпенССЛ у режиму ФИПС. Мицрософт .НЕТ крипто, Линук кернел либкцапи, Содиум и ГнуТЛС тек треба да буду тестирани.
Пронашли смо имплементације које губе битну дужину скалара током множења скалара у ЕЦЦ. Ово цурење може се чинити малим, јер дужина бита има врло малу количину информација присутних у скалару. Међутим, у случају генерирања ЕЦДСА / ЕдДСА потписа, филтрирање битне дужине случајног нонцеа довољно је за потпуни опоравак приватног кључа који се користи након посматрања неколико стотина до неколико хиљада потписа у познатим порукама, услед примене неке технике.
Верујемо да то утиче на све претходне картице јер имају заједничку ЕЦДСА компоненту (модул ФИПС 214), која је описана као Атхена ОС2 ЕЦДСА755 компонента у Инсиде Сецуре АТ90СЦ А1.0 (фирмвер). Тестирали смо рањивост само на Атхена ИДПротецт картици са ЦПЛЦ и АТР подацима
Проблем настаје због могућности одређивања појединачних вредности бита током множења скаларом током ЕЦЦ трговања. Индиректне методе, попут процене кашњења у извођењу прорачуна, користе се за издвајање информација из битова.
За напад је потребан привилеговани приступ хосту у коме се генерише дигитални потпис (даљински напад није искључен, али је веома компликован и захтева пуно података за анализу, па се то може сматрати мало вероватним)
Упркос малој величини цурења, за ЕЦДСА је дефиниција чак неколико битова са информацијама о вектору иницијализације (нонце) довољна да изврши напад за секвенцијално враћање комплетног приватног кључа.
Према ауторима методе, за успешан опоравак кључа довољна је анализа неколико стотина до неколико хиљада генерисаних дигиталних потписа за поруке које су нападачу познате. На пример, да би се одредио приватни кључ који се користи у паметној картици Атхена ИДПротецт на основу чипа Инсиде Сецуре АТ90СЦ, користећи елиптичну криву сецп256р1, анализирано је 11 хиљада дигиталних потписа. Укупно време напада било је 30 минута.
Наш код за напад и доказ концепта инспирисани су методом Брумлеи & Тувери.
Проблем је већ решен у либгцрипт 1.8.5 и волфЦрипт 4.1.0, други пројекти још увек нису генерисали исправке. Такође је могуће пратити исправку рањивости у пакету либгцрипт у дистрибуцијама на овим страницама: Дебиан, убунту, РХЕЛ, федора, опенСУСЕ / СУСЕ, Уник, Арцх.
Истраживачи су такође тестирали и друге картице и библиотеке, од којих следеће нису рањиве:
- ОпенССЛ 1.1.1д
- БоунциЦастле 1.58
- БорингССЛ 974ф4дддф
- либтомцрипт 1.18.2
- Ботан 2.11.0
- Мицрософт ЦНГ
- мбедТЛС 2.16.0
- Интел ИПП-крипто
Картице
- АЦС АЦОСЈ 40К
- Феитиан А22ЦР
- Г&Д СмартЦафе 6.0
- Г&Д СмартЦафе 7.0
- Инфинеон ЦЈТОП 80К ИНФ СЉ 52ГЛА080АЛ М8.4
- Инфинеон СЛЕ78 Универсал ЈЦард
- НКСП ЈЦОП31 в2.4.1
- НКСП ЈЦОП ЦЈ2А081
- НКСП ЈЦОП в2.4.2 Р2
- НКСП ЈЦОП в2.4.2 Р3
- СИМОМЕ ТаиСИС трезор
Ако желите да сазнате више о нападу који се користи и откривеним рањивостима, то можете учинити у следећи линк. Алати који се користе за реплицирање напада су доступни за преузимање.