The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Представлена техника атаки для воссоздания ключей ECDSA и DSA"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Представлена техника атаки для воссоздания ключей ECDSA и DSA"  +/
Сообщение от opennews (??) on 15-Июн-18, 13:13 
Исследователи из компании NCC Group разработали (https://www.nccgroup.trust/us/our-research/technical-advisor.../) новый метод атаки по сторонним каналам (CVE-2018-0495, PDF (https://www.nccgroup.trust/globalassets/our-research/us/whit...)), позволяющий воссоздать применяемые для создания цифровых подписей закрытые ключи ECDSA (https://ru.wikipedia.org/wiki/ECDSA) и DSA (https://ru.wikipedia.org/wiki/DSA), используя технику извлечения информации из процессорного кэша для оценки изменения задержки при выполнении вычислений.

Для атаки необходимо наличие непривилегированного доступа к хосту, на котором выполняется генерация цифровой подписи, или к соседней виртуальной машине. В ходе атаки в момент создания очередной цифровой подписи осуществляется определение значения базовых параметров, путём перебора нахождения вероятных значений в кэше и оценки времени выполнения математических вычислений. Проверяемые значения выбираются с учётом того, что в библиотеках используются математическая операция вычисления модуля, время выполнения которой меняется в зависимости от выбранных значений.


Для успешного воссоздания 256-разрядного закрытого ключа ECDSA достаточно наблюдения за созданием нескольких тысяч цифровых подписей (например, можно анализировать работу во время установки TLS или SSH соединений с использованием ECDSA). Рабочий прототип эксплота предоставлен для OpenSSL.   Для защиты от атаки предлагается (http://git.gnupg.org/cgi-bin/gitweb.cgi?p=libgcrypt.git;a=bl...)  использовать в процессе математических вычислений  дополнительное случайное число, на которое выполняется умножение секретного параметра, а затем инвертируется результат.


Наибольшую опасность уязвимость представляет для систем виртуализации, в которых атакующий потенциально может определить серверный SSH-ключ или закрытые ключи TLS, применяемые в другой виртуальной машине. Но в реальных условиях атака достаточно трудна в проведении и её успешность зависит от множества сопуствующих факторов, таких как необходимость привязки виртуальной машины атакующего к тому же физическому CPU.

Проблеме подвержены библиотеки OpenSSL, LibreSSL,  Libgcrypt (ECDSA), Mozilla NSS,  Botan (ECDSA), WolfCrypt (ECDSA), LibTomCrypt (ECDSA), LibSunEC (ECDSA), MatrixSSL (ECDSA), BoringSSL (DSA) и CryptLib. Обновления с устранением уязвимости уже выпущены для LibreSSL (https://www.mail-archive.com/announce@openbsd.org/msg00...) 2.7.4/2.6.5]] и Libgcrypt 1.8.3/1.7.10 (https://www.mail-archive.com/info-gnu@gnu.org/msg02460....) (GnuPG). Уязвимость не затрагивает библиотеки Nettle (ECDSA), BearSSL и Libsecp256k1, так как математические вычисления в них всегда выполняются за постоянное время. Библиотека NaCl не подвержена проблемам, так как не поддерживает цифровые подписи ECDSA и DSA (в NaCl применяется только алгоритм Ed25519 (https://ed25519.cr.yp.to/)).

URL: https://www.nccgroup.trust/us/about-us/newsroom-and-events/b.../
Новость: https://www.opennet.dev/opennews/art.shtml?num=48780

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Представлена техника атаки для воссоздания ключей ECDSA и DS..."  –3 +/
Сообщение от Аноним (??) on 15-Июн-18, 13:13 
OpenSSH\LibreSSH как?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Представлена техника атаки для воссоздания ключей ECDSA и DS..."  +6 +/
Сообщение от Онанимус on 15-Июн-18, 13:33 
> OpenSSH\LibreSSH как?

Как OpenSSL и LibreSSL.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

7. "Представлена техника атаки для воссоздания ключей ECDSA и DS..."  +2 +/
Сообщение от Andrey Mitrofanov on 15-Июн-18, 13:33 
>LibreSSH

Держитесь там.

>как?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

30. "Представлена техника атаки для воссоздания ключей ECDSA и DS..."  –1 +/
Сообщение от Аноним (??) on 15-Июн-18, 17:33 
>>LibreSSH
> Держитесь там.
> >как?

обновилась вчера вечером

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

39. "Представлена техника атаки для воссоздания ключей ECDSA и DS..."  +/
Сообщение от Andrey Mitrofanov on 18-Июн-18, 10:11 
>>>LibreSSH
>> Держитесь там.
> обновилась вчера вечером

Как оно там, http://www.aixtools.net/index.php/libreSSH в 2015ом?

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

2. "Представлена техника атаки для воссоздания ключей ECDSA и DS..."  +/
Сообщение от Аноним (??) on 15-Июн-18, 13:22 
Это имеет какое-то отношение к дырам с кэшированием в процессорах или нет?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Представлена техника атаки для воссоздания ключей ECDSA и DS..."  +4 +/
Сообщение от Аноним (??) on 15-Июн-18, 13:29 
Это имеет отношение к тому что разработчики, обучавшиеся по книгам
"Программирование для чайников за 24 часа!" не знают,
что все криптографические операции нужно выполнять за постоянное время.
Уже пятая дырка подобного рода в OpenSSL
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

24. "Представлена техника атаки для воссоздания ключей ECDSA и DS..."  +1 +/
Сообщение от Аноним (??) on 15-Июн-18, 16:24 
Это не дырка, а кривая разработка. Концепция атаки была сформулирована кажись чуть ли не в начале 90х годов, а воз и ныне там.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

32. "Представлена техника атаки для воссоздания ключей ECDSA и DS..."  +1 +/
Сообщение от KonstantinB (ok) on 15-Июн-18, 18:07 
Просто OpenSSL довольно старый. Когда его разрабатывали, даже SMP был редкостью, не говоря уж о виртуализации, и никто о таких вещах просто не задумывался: единственным реалистичным случаем была бы генерация на шаред-машине, и ответ на такое очевиден - "не делайте так".
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "Представлена техника атаки для воссоздания ключей ECDSA и DS..."  +/
Сообщение от Andrey Mitrofanov on 15-Июн-18, 13:35 
> Это имеет какое-то отношение к дырам с кэшированием в процессорах или нет?

Кому и "a simple memory cache side-channel attack" - невеста.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Представлена техника атаки для воссоздания ключей ECDSA и DS..."  +3 +/
Сообщение от Аноним (??) on 15-Июн-18, 13:26 
Можно сказать исторический момент.
Мы наблюдаем как архитектура 8086 начинает рушиться под гнетом миллиардов костылесипедов и "оптимизаций" принятых исключительно ради увеличения прибыли.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Представлена техника атаки для воссоздания ключей ECDSA и DS..."  +10 +/
Сообщение от КО on 15-Июн-18, 13:37 
Точно Бро. И пофиг, что у остальных вариантов процов те же проблемы...
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

25. "Представлена техника атаки для воссоздания ключей ECDSA и DS..."  –1 +/
Сообщение от Аноним (??) on 15-Июн-18, 16:26 
>  Точно Бро. И пофиг, что у остальных вариантов процов те же проблемы...

Вы слишком далеко заглядываете, что не свойственно обычному человеку. У нас же в мире какой принцип: "сначала все поломаем, а там видно будет". Вот когда все сломают и разрушат, вот там и увидят "те же проблемы".

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Представлена техника атаки для воссоздания ключей ECDSA и DS..."  +11 +/
Сообщение от ы on 15-Июн-18, 13:41 
Вы лично, вместе с вашим голосами в голове, формирующими это самое пафосное "мы", сходите к психиатору за антипсихотиками.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

15. "Представлена техника атаки для воссоздания ключей ECDSA и DS..."  +/
Сообщение от Аноним (??) on 15-Июн-18, 14:03 
Они зовутся нейролептиками.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

26. "Представлена техника атаки для воссоздания ключей ECDSA и DS..."  +2 +/
Сообщение от Шизиатр on 15-Июн-18, 16:36 
Теперь антипсихотиками, потому что не все они умеют вызывать нейролепсию. (Да простят меня модераторы за оффтоп)
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

33. "Представлена техника атаки для воссоздания ключей ECDSA и DS..."  +2 +/
Сообщение от PereresusNeVlezaetBuggy (ok) on 15-Июн-18, 19:23 
> Теперь антипсихотиками, потому что не все они умеют вызывать нейролепсию. (Да простят
> меня модераторы за оффтоп)

Как может быть оффтопом то, что касается доброй половины посетителей Опеннета?

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

37. "Представлена техника атаки для воссоздания ключей ECDSA и DS..."  +/
Сообщение от omnomnim on 15-Июн-18, 22:23 
не стоит ТАК преувеличивать свою важность ;)
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

12. "Представлена техника атаки для воссоздания ключей ECDSA и DS..."  +1 +/
Сообщение от Вася (??) on 15-Июн-18, 13:41 
Конкретно эта атака завязана не только на 8086, а на все архитектуры где скорость вычисления модуля зависит от значений параметров. Как указали выше, проблема в программистах, которые не знают что криптографические операции должны выполняться за постоянное время.

Что не отрицает того что архитектура с пресказаниями для оптимизации как оказалось имеет массу проблем с безопасностью. И это не только x86, как мы узнали в этом году. Грусть и печаль, и новое светлое будущее, где этого не будет.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

13. "Представлена техника атаки для воссоздания ключей ECDSA и DS..."  +1 +/
Сообщение от Нанобот (ok) on 15-Июн-18, 14:00 
>архитектура 8086 начинает рушиться

да ладно. вот, например, если бы какая-то последовательность команд приводила к зависанию, или если б были случайные искажения данных - тогда это можно было бы называть "рушиться", а так...просто мелкие трещины пошли, залатают и забудут (или просто забудут)

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

35. "Представлена техника атаки для воссоздания ключей ECDSA и DS..."  +/
Сообщение от Аноним (??) on 15-Июн-18, 22:02 
Благородный дон не в курсе что большинство уязвимостей работают в том или ином виде и на других архитектурах?
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Представлена техника атаки для воссоздания ключей ECDSA и DSA"  +1 +/
Сообщение от Онанимус on 15-Июн-18, 13:31 
Тема RSA не раскрыта.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Представлена техника атаки для воссоздания ключей ECDSA и DSA"  +1 +/
Сообщение от Andrey Mitrofanov on 15-Июн-18, 13:38 
> Тема RSA не раскрыта.

Туда =>https://www.schneier.com/blog/tags.html

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

17. "Представлена техника атаки для воссоздания ключей ECDSA и DSA"  +/
Сообщение от Онанимус on 15-Июн-18, 15:24 
>> Тема RSA не раскрыта.
> Туда =>https://www.schneier.com/blog/tags.html

То, что с RSA куча проблем и что Шнайер в это тыкал, я знаю. И в пдфке из новости на все это ссылаются. Но из прфки не ясно, их метод применим к RSA или не применим принципиально - не ясно.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

14. "Представлена техника атаки для воссоздания ключей ECDSA и DSA"  +/
Сообщение от Нанобот (ok) on 15-Июн-18, 14:01 
> Тема RSA не раскрыта.

всё в твоих руках

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

16. "Представлена техника атаки для воссоздания ключей ECDSA и DS..."  –1 +/
Сообщение от Аноним (??) on 15-Июн-18, 14:57 
В каждой теме вспоминают устаревшего вендора Intel, вместо хайпов EPYC Zen2+... и выкидывания на помойку синего кремния из ЦОДов.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Представлена техника атаки для воссоздания ключей ECDSA и DS..."  +4 +/
Сообщение от IRASoldier on 15-Июн-18, 16:59 
Только Эльбрус, только хардкор!
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Представлена техника атаки для воссоздания ключей ECDSA и DS..."  +/
Сообщение от Ващенаглухо (ok) on 15-Июн-18, 15:26 
/etc/ssh/sshd_config
Ciphers chacha20-poly1305@openssh.com
HostKey /etc/ssh/ssh_host_ed25519_key

/etc/sysconfig/sshd
AUTOCREATE_SERVER_KEYS="ED25519"

должно спасти, правда старье всякое не подключится :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Представлена техника атаки для воссоздания ключей ECDSA и DS..."  +1 +/
Сообщение от Онанимус on 15-Июн-18, 15:31 
> правда старье всякое не подключится :)

так отож (

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

19. "Представлена техника атаки для воссоздания ключей ECDSA и DS..."  +1 +/
Сообщение от Аноняшка on 15-Июн-18, 15:28 
А какая процессорная архитектура практически безопасна? Ну, кроме теплого лампового советского калькулятора с плавающей точкой?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Представлена техника атаки для воссоздания ключей ECDSA и DS..."  +/
Сообщение от 1 (??) on 15-Июн-18, 15:32 
z390 же
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

23. "Представлена техника атаки для воссоздания ключей ECDSA и DS..."  +4 +/
Сообщение от Аноним (??) on 15-Июн-18, 16:10 
ельбрус в нативном режиме - под него нельзя сканпелировать троян, зырящий в кеш процессора, ибо нечем
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

27. "Представлена техника атаки для воссоздания ключей ECDSA и DS..."  –1 +/
Сообщение от Аноним (??) on 15-Июн-18, 16:39 
Ну типа Security by obscurity, да.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

29. "Представлена техника атаки для воссоздания ключей ECDSA и DS..."  +2 +/
Сообщение от Аноним (??) on 15-Июн-18, 17:32 
Нет, настоящая физическая защита
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

31. "Представлена техника атаки для воссоздания ключей ECDSA и DS..."  +/
Сообщение от Ilya Indigo (ok) on 15-Июн-18, 18:00 
... не подвержена проблемам ... только алгоритм Ed25519!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "Представлена техника атаки для воссоздания ключей ECDSA и DS..."  +1 +/
Сообщение от PereresusNeVlezaetBuggy (ok) on 15-Июн-18, 19:24 
> ... не подвержена проблемам ... только алгоритм Ed25519!

Шнайер в доле.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

38. "Представлена техника атаки для воссоздания ключей ECDSA и DS..."  +/
Сообщение от Stax (ok) on 16-Июн-18, 10:11 
Еще бы браузеры его поддерживали для подписи сертификатов. Без возможности использовать его в TLS ему грош цена (я понимаю, конечно, про ssh, но это в общем и целом ни о чем).
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

36. "Представлена техника атаки для определения ключей ECDSA и DS..."  +/
Сообщение от Аноним (??) on 15-Июн-18, 22:22 
биткоин уже подешевел?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру