Masaryk University Researchers avslöjade information viktigt om sårbarheter i olika iImplementeringar av ECDSA / EdDSA-algoritmen för digital signaturgenerering, som gör det möjligt att återställa värdet på den privata nyckeln baserat på analysen av informationsläckage på enskilda bitar som visas när man använder analysmetoder via tredjepartskanaler. Sårbarheterna har kodnamnet Minerva.
De mest kända projekten som påverkar den föreslagna attackmetoden är OpenJDK, OracleJDK (CVE-2019-2894) och biblioteket libgcrypt (CVE-2019-13627) används i GnuPG. Problemen är också mottagliga för bibliotek MatrixSSL, Crypto ++, wolfCrypt, elliptisk, jsrsasign, Python-ECDSA, ruby_ecdsa, fastecdsa och även några smartkort Athena IDProtect, TecSec Armored Card, SafeNet eToken 4300, Valid S / A IDflex V.
Förutom de sårbarheter som nämns just nu påverkas de inte OpenSSL, Botan, mbedTLS och BoringSSL. Mozilla NSS, LibreSSL, Nettle, BearSSL, cryptlib, OpenSSL i FIPS-läge. Microsoft .NET-krypto, Linux-kärnan libkcapi, Sodium och GnuTLS har ännu inte testats.
Vi har hittat implementeringar som förlorar skallängden på skalären under skalarmultiplikation i ECC. Denna läcka kan verka liten eftersom bitlängden har en mycket liten mängd information i skalären. I fallet med generering av ECDSA / EdDSA-signatur är det dock tillräckligt att filtrera den slumpmässiga nonce-bitlängden för fullständig återställning av den privata nyckeln som används efter att ha observerat några hundra till några tusen signaturer i kända meddelanden på grund av tillämpningen av vissa tekniker .
Vi tror att alla ovanstående kort påverkas eftersom de delar en gemensam ECDSA-komponent (FIPS 214-modul), som beskrivs som Athena OS2 ECDSA755-komponent i Inside Secure AT90SC A1.0 (firmware). Vi har testat sårbarheten endast på Athena IDProtect-kortet med CPLC- och ATR-data
Problemet orsakas av förmågan att bestämma enskilda bitvärden under multiplikation med en skalär under ECC-handel. Indirekta metoder, såsom att uppskatta fördröjning vid beräkning, används för att extrahera bitinformation.
En attack kräver okontrollerad åtkomst till värden där den digitala signaturen genereras (en fjärranfall är inte utesluten, men det är mycket komplicerat och kräver en stor mängd data för analys, därför kan det anses osannolikt).
Trots läckans lilla storlek är definitionen av till och med några bitar med information om initialiseringsvektorn (nonce) för ECDSA tillräcklig för att utföra en attack för att sekventiellt återställa den fullständiga privata nyckeln.
Enligt metodens författare, för framgångsrik nyckelåterställning är analys av flera hundra till flera tusen genererade digitala signaturer tillräcklig för meddelanden som är kända för angriparen. Till exempel, för att bestämma den privata nyckeln som används i Athena IDProtect-smartkortet baserat på Inside Secure AT90SC-chipet, med secp256r1 elliptisk kurva, analyserades 11 tusen digitala signaturer. Den totala attacktiden var 30 minuter.
Vår attackkod och konceptbevis är inspirerad av Brumley & Tuveri-metoden.
Problemet har redan åtgärdats i libgcrypt 1.8.5 och wolfCrypt 4.1.0, andra projekt har ännu inte genererat uppdateringar. Det är också möjligt att spåra sårbarhetsfixet i libgcrypt-paketet i distributioner på dessa sidor: Debian, ubuntu, RHEL, fedora, openSUSE / SUSE, FreeBSD, Arch.
Forskarna testade också andra kort och bibliotek, av vilka följande inte är sårbara:
- OpenSSL 1.1.1d
- Hoppborg 1.58
- BoringSSL 974f4dddf
- libtomcrypt 1.18.2
- Starta 2.11.0
- Microsoft CNG
- mbedTLS 2.16.0
- Intel IPP-krypto
Kort
- VV ACOSJ 40K
- Feitian A22CR
- G&D SmartCafe 6.0
- G&D SmartCafe 7.0
- Infineon CJTOP 80K INF SLJ 52GLA080AL M8.4
- Infineon SLE78 Universal JCard
- NXP JCOP31 v2.4.1
- NXP JCOP CJ2A081
- NXP JCOP v2.4.2 R2
- NXP JCOP v2.4.2 R3
- SIMOME TaiSYS Vault
Om du vill veta mer om attacken som används och de upptäckta sårbarheterna kan du göra det i följande länk. Verktygen som används för att replikera attacken är tillgängliga för nedladdning.