Masaryk Üniversitesi Araştırmacıları Bilgileri Açıkladı önemli güvenlik açıkları hakkında çeşitli benECDSA / EdDSA dijital imza oluşturma algoritmasının uygulamaları, üçüncü taraf kanallar aracılığıyla analiz yöntemleri uygularken ortaya çıkan bireysel bitlerdeki bilgi sızıntılarının analizine dayalı olarak özel anahtarın değerini kurtarmaya izin verir. Güvenlik açıklarının kod adı Minerva'dır.
En ünlü projeler bu etkileyen önerilen saldırı yöntemi OpenJDK, OracleJDK (CVE-2019-2894) ve kütüphane libgcrypt (CVE-2019-13627) GnuPG'de kullanılır. Sorunlar kütüphanelere de duyarlı MatrixSSL, Crypto ++, wolfCrypt, eliptik, jsrsasign, Python-ECDSA, ruby_ecdsa, fastecdsa ve ayrıca bazı akıllı kartlar Athena IDProtect, TecSec Zırhlı Kart, SafeNet eToken 4300, Geçerli S / A IDflex V.
Şu anda bahsedilen güvenlik açıklarına ek olarak etkilenmezler OpenSSL, Botan, mbedTLS ve BoringSSL. FIPS modunda Mozilla NSS, LibreSSL, Nettle, BearSSL, cryptlib, OpenSSL. Microsoft .NET kripto, Linux kernel libkcapi, Sodyum ve GnuTLS henüz test edilmemiştir.
ECC'de skaler çarpma sırasında skalerin bit uzunluğunu kaybeden uygulamalar bulduk. Bit uzunluğu skalerde çok az miktarda bilgi bulunduğundan, bu sızıntı küçük görünebilir. Bununla birlikte, ECDSA / EdDSA imza üretimi durumunda, rastgele nonce'nin bit uzunluğunun filtrelenmesi, bilinen mesajlarda birkaç yüz ila birkaç bin imza gözlemlendikten sonra kullanılan özel anahtarın tam olarak kurtarılması için yeterlidir. bazı teknikler.
Önceki tüm kartların, Inside Secure AT214SC A2'da (Firmware) Athena OS755 ECDSA90 Bileşeni olarak tanımlanan ortak bir ECDSA bileşenini (FIPS 1.0 modülü) paylaştıkları için etkilendiğine inanıyoruz. Güvenlik açığını yalnızca CPLC ve ATR verileriyle Athena IDProtect kartında test ettik
Sorun, bireysel bit değerlerini belirleme yeteneğinden kaynaklanmaktadır ECC ticareti sırasında bir skaler ile çarpma sırasında. Hesaplamaların gerçekleştirilmesindeki gecikmenin tahmin edilmesi gibi dolaylı yöntemler, bitlerden bilgi çıkarmak için kullanılır.
Saldırı, ana bilgisayara ayrıcalıksız erişim gerektirir dijital imzanın üretildiği (uzaktan bir saldırı hariç tutulmamaktadır, ancak çok karmaşıktır ve analiz için büyük miktarda veri gerektirir, bu nedenle olası olmadığı düşünülebilir).
Sızıntının küçük boyutuna rağmen, ECDSA için, başlatma vektörü (nonce) hakkında bilgi içeren birkaç bitin tanımlanması, tam özel anahtarı sıralı olarak geri yüklemek için bir saldırı gerçekleştirmek için yeterlidir.
Yöntemin yazarlarına göre, Başarılı bir anahtar kurtarma için, üretilen birkaç yüz ila birkaç bin dijital imzanın analizi yeterlidir saldırganın bildiği mesajlar için. Örneğin, Secp90r256 eliptik eğri kullanılarak Athena IDProtect akıllı kartında kullanılan özel anahtarı Inside Secure AT1SC yongasına göre belirlemek için 11 bin dijital imza incelendi. Toplam saldırı süresi 30 dakikaydı.
Saldırı kodumuz ve kavram kanıtımız Brumley & Tuveri yönteminden esinlenmiştir.
Sorun, libgcrypt 1.8.5 ve wolfCrypt 4.1.0'da zaten düzeltildi., diğer projeler henüz güncelleme oluşturmadı. Bu sayfalardaki dağıtımlarda libgcrypt paketindeki güvenlik açığı düzeltmesini izlemek de mümkündür: Debian, Ubuntu, RHEL, Fötr şapka, openSUSE / SUSE, FreeBSD, Arch.
Araştırmacılar ayrıca, aşağıdakileri savunmasız olmayan diğer kartları ve kitaplıkları da test ettiler:
- OpenSSL 1.1.1d
- Zıplayan Kale 1.58
- BoringSSL 974f4dddf
- libtomcrypt 1.18.2
- Botanik 2.11.0
- Microsoft CNG'si
- mbedTLS 2.16.0
- Intel IPP-Kripto
Kartlar
- DHW ACOSJ 40K
- Feitian A22CR
- G&D SmartCafe 6.0
- G&D SmartCafe 7.0
- Infineon CJTOP 80K INF SLJ 52GLA080AL M8.4
- Infineon SLE78 Evrensel JCard
- NXP JCOP31 v2.4.1
- NXP JCOP CJ2A081
- NXP JCOP v2.4.2 R2
- NXP JCOP v2.4.2 R3
- SIMOME TaiSYS Kasası
Kullanılan saldırı ve tespit edilen güvenlik açıkları hakkında daha fazla bilgi edinmek isterseniz, bunu şu adresten yapabilirsiniz: aşağıdaki bağlantı. Saldırıyı kopyalamak için kullanılan araçlar indirilebilir.