Обнародован способ взлома алгоритмов шифрования ECDSA и DSA

Обнародован способ взлома алгоритмов шифрования ECDSA и DSA

Для успешной атаки необходимо наличие непривилегированного доступа к устройству.

Специалисты по безопасности из компании NCC Group сообщили о новом методе атаки по сторонним каналам с помощью уязвимости CVE-2018-0495 , которая позволяет взломать алгоритмы шифрования ECDSA и DSA путем воссоздания закрытых ключей.

По словам исследователей, уязвимость может быть проэксплуатирована злоумышленником для извлечения информации из процессорного кэша путем оценки изменения задержки при выполнении вычислений. Для успешной атаки необходимо наличие непривилегированного доступа к устройству, на котором генерируется цифровая подпись.

Уязвимость затрагивает библиотеки OpenSSL, LibreSSL, Libgcrypt (ECDSA), Mozilla NSS, Botan (ECDSA), WolfCrypt (ECDSA), LibTomCrypt (ECDSA), LibSunEC (ECDSA), MatrixSSL (ECDSA), BoringSSL (DSA) и CryptLib.

Для защиты от атаки предлагается использовать в процессе вычислений дополнительное число, на которое будет выполняться умножение секретного параметра, с последующей инверсией результата.

DSA (Digital Signature Algorithm) - криптографический алгоритм с использованием открытого ключа для создания электронной подписи, но не для шифрования. Подпись создается секретно, но может быть публично проверена. Это означает, что только один субъект может создать подпись сообщения, но любой может проверить ее корректность.

ECDSA (Elliptic Curve Digital Signature Algorithm) - алгоритм с открытым ключом для создания цифровой подписи, аналогичный по своему строению DSA, но определенный, в отличие от него, не над кольцом целых чисел, а в группе точек эллиптической кривой.

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!