本月大事件:椭圆曲线实现容易受到 Minerva 定时攻击
来自 Masaryk University 的研究人员提出了一种名为 Minerva 的定时攻击。该攻击利用了椭圆曲线签名(主要是ECDSA)实现中的侧信道漏洞。攻击的主要目标是加密芯片,但一些开源库也受到了影响。
该攻击通过检测用于签名生成的 nonce 值的长度来实现。椭圆曲线签名的一个众所周知的特性是,如果攻击者知道 nonce 值,他就可以破坏私钥。即使只知道 nonce 值的部分数据,也可以用来进行密钥恢复攻击,Minerva 就是这么做的。
Minerva 利用 FIPS 认证和 Common Criteria 攻击了几块芯片。Minerva 的作者试图解释这是如何发生的:“FIPS 140-2 认证机制明确不要求负责评估的实验室对侧通道攻击的抵抗能力进行测试。因此,即使上述卡的 FIPS 安全目标指定了对侧通道攻击的抵抗力,也没有进行此方面的测试。”
此外,对 Common Criteria 的情况进行了评论:“最初的 Common Criteria 证书DCSSI-CC-2009/11具有易受攻击的功能点,该功能没有针对 SPA/DPA 攻击的明确保护,并且不应该在安全数据上使用。”
Minerva 公开后,Dan Bernstein 评论了攻击对 EdDSA 的适用性。最初,Minerva 的作者曾声称,Libgcrypt 中的 EdDSA 实现也容易受到 Minerva 的攻击,尽管存在定时泄漏,但无法利用,作者现在在他们的 web 页面上提到了这一点。Bernstein 详细描述了 EdDSA 的设计是如何防止这种攻击的。
受 Minerva 影响的有 Libgcrypt、WolfSSL、MatrixSSL、Crypto++ 库和 Oracle Java JDK。Libgcrypt在1.8.5 版本中发布了一个修复,在4.1.0版本中发布了 WolfSSL。
本月短新闻
- Chrome 开发人员发布了 TLS 1.0 和 1.1 版本弃用后的用户界面变化的信息。
- Kaspersky 披露了一个恶意软件家族,它破坏 TLS 的实现,并将恶意软件流量注入连接,其中涉及到随机数生成器的破坏。
- Microsoft 在 IIS 服务器中引入了一个特性,允许对每个证书执行 TLS 版本。
- Chrome 的开发人员宣布了在 HTTPS 网页上屏蔽混合内容的计划。
- 包括 NordVPN、VikingVPN 和 Torguard 在内的几家 VPN 提供商在 2018 年遭到攻击,其中包括网页证书的密钥被公开。这些细节于2018年发布在一个公共论坛上,但当时没有引起任何关注。NordVPN 和 Torguard 就此事发表了声明。
- 有研究者发表了一篇报告,PDFex,针对 PDF 文件加密的主动攻击。使用未经认证的CBC 加密的 PDF 文件,容易受到可锻性攻击。
文稿来源:Feisty Duck