URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 114591
[ Назад ]
Исходное сообщение
"Представлена техника атаки для воссоздания ключей ECDSA и DSA"
Отправлено opennews , 15-Июн-18 13:13 
Исследователи из компании NCC Group разработали (https://www.nccgroup.trust/us/our-research/technical-advisor... новый метод атаки по сторонним каналам (CVE-2018-0495, PDF (https://www.nccgroup.trust/globalassets/our-research/us/whit... позволяющий воссоздать применяемые для создания цифровых подписей закрытые ключи ECDSA (https://ru.wikipedia.org/wiki/ECDSA) и DSA (https://ru.wikipedia.org/wiki/DSA), используя технику извлечения информации из процессорного кэша для оценки изменения задержки при выполнении вычислений.

Для атаки необходимо наличие непривилегированного доступа к хосту, на котором выполняется генерация цифровой подписи, или к соседней виртуальной машине. В ходе атаки в момент создания очередной цифровой подписи осуществляется определение значения базовых параметров, путём перебора нахождения вероятных значений в кэше и оценки времени выполнения математических вычислений. Проверяемые значения выбираются с учётом того, что в библиотеках используются математическая операция вычисления модуля, время выполнения которой меняется в зависимости от выбранных значений.


Для успешного воссоздания 256-разрядного закрытого ключа ECDSA достаточно наблюдения за созданием нескольких тысяч цифровых подписей (например, можно анализировать работу во время установки TLS или SSH соединений с использованием ECDSA). Рабочий прототип эксплота предоставлен для OpenSSL.   Для защиты от атаки предлагается (http://git.gnupg.org/cgi-bin/gitweb.cgi?p=libgcrypt.git;a=bl...использовать в процессе математических вычислений  дополнительное случайное число, на которое выполняется умножение секретного параметра, а затем инвертируется результат.


Наибольшую опасность уязвимость представляет для систем виртуализации, в которых атакующий потенциально может определить серверный SSH-ключ или закрытые ключи TLS, применяемые в другой виртуальной машине. Но в реальных условиях атака достаточно трудна в проведении и её успешность зависит от множества сопуствующих факторов, таких как необходимость привязки виртуальной машины атакующего к тому же физическому CPU.

Проблеме подвержены библиотеки OpenSSL, LibreSSL,  Libgcrypt (ECDSA), Mozilla NSS,  Botan (ECDSA), WolfCrypt (ECDSA), LibTomCrypt (ECDSA), LibSunEC (ECDSA), MatrixSSL (ECDSA), BoringSSL (DSA) и CryptLib. Обновления с устранением уязвимости уже выпущены для LibreSSL (https://www.mail-archive.com/announce@openbsd.org/msg00... 2.7.4/2.6.5]] и Libgcrypt 1.8.3/1.7.10 (https://www.mail-archive.com/info-gnu@gnu.org/msg02460.... (GnuPG). Уязвимость не затрагивает библиотеки Nettle (ECDSA), BearSSL и Libsecp256k1, так как математические вычисления в них всегда выполняются за постоянное время. Библиотека NaCl не подвержена проблемам, так как не поддерживает цифровые подписи ECDSA и DSA (в NaCl применяется только алгоритм Ed25519 (https://ed25519.cr.yp.to/)).

URL: https://www.nccgroup.trust/us/about-us/newsroom-and-events/b.../
Новость: https://www.opennet.me/opennews/art.shtml?num=48780

Содержание
Сообщения в этом обсуждении
"Представлена техника атаки для воссоздания ключей ECDSA и DS..."
Отправлено Аноним , 15-Июн-18 13:13 
OpenSSH\LibreSSH как?
"Представлена техника атаки для воссоздания ключей ECDSA и DS..."
Отправлено Онанимус , 15-Июн-18 13:33 
> OpenSSH\LibreSSH как?

Как OpenSSL и LibreSSL.

"Представлена техника атаки для воссоздания ключей ECDSA и DS..."
Отправлено Andrey Mitrofanov , 15-Июн-18 13:33 
>LibreSSH

Держитесь там.

>как?

"Представлена техника атаки для воссоздания ключей ECDSA и DS..."
Отправлено Аноним , 15-Июн-18 17:33 
>>LibreSSH
> Держитесь там.
> >как?

обновилась вчера вечером

"Представлена техника атаки для воссоздания ключей ECDSA и DS..."
Отправлено Andrey Mitrofanov , 18-Июн-18 10:11 
>>>LibreSSH
>> Держитесь там.
> обновилась вчера вечером

Как оно там, http://www.aixtools.net/index.php/libreSSH в 2015ом?

"Представлена техника атаки для воссоздания ключей ECDSA и DS..."
Отправлено Аноним , 15-Июн-18 13:22 
Это имеет какое-то отношение к дырам с кэшированием в процессорах или нет?
"Представлена техника атаки для воссоздания ключей ECDSA и DS..."
Отправлено Аноним , 15-Июн-18 13:29 
Это имеет отношение к тому что разработчики, обучавшиеся по книгам
"Программирование для чайников за 24 часа!" не знают,
что все криптографические операции нужно выполнять за постоянное время.
Уже пятая дырка подобного рода в OpenSSL
"Представлена техника атаки для воссоздания ключей ECDSA и DS..."
Отправлено Аноним , 15-Июн-18 16:24 
Это не дырка, а кривая разработка. Концепция атаки была сформулирована кажись чуть ли не в начале 90х годов, а воз и ныне там.
"Представлена техника атаки для воссоздания ключей ECDSA и DS..."
Отправлено KonstantinB , 15-Июн-18 18:07 
Просто OpenSSL довольно старый. Когда его разрабатывали, даже SMP был редкостью, не говоря уж о виртуализации, и никто о таких вещах просто не задумывался: единственным реалистичным случаем была бы генерация на шаред-машине, и ответ на такое очевиден - "не делайте так".
"Представлена техника атаки для воссоздания ключей ECDSA и DS..."
Отправлено Andrey Mitrofanov , 15-Июн-18 13:35 
> Это имеет какое-то отношение к дырам с кэшированием в процессорах или нет?

Кому и "a simple memory cache side-channel attack" - невеста.

"Представлена техника атаки для воссоздания ключей ECDSA и DS..."
Отправлено Аноним , 15-Июн-18 13:26 
Можно сказать исторический момент.
Мы наблюдаем как архитектура 8086 начинает рушиться под гнетом миллиардов костылесипедов и "оптимизаций" принятых исключительно ради увеличения прибыли.

"Представлена техника атаки для воссоздания ключей ECDSA и DS..."
Отправлено КО , 15-Июн-18 13:37 
Точно Бро. И пофиг, что у остальных вариантов процов те же проблемы...
"Представлена техника атаки для воссоздания ключей ECDSA и DS..."
Отправлено Аноним , 15-Июн-18 16:26 
>  Точно Бро. И пофиг, что у остальных вариантов процов те же проблемы...

Вы слишком далеко заглядываете, что не свойственно обычному человеку. У нас же в мире какой принцип: "сначала все поломаем, а там видно будет". Вот когда все сломают и разрушат, вот там и увидят "те же проблемы".

"Представлена техника атаки для воссоздания ключей ECDSA и DS..."
Отправлено ы , 15-Июн-18 13:41 
Вы лично, вместе с вашим голосами в голове, формирующими это самое пафосное "мы", сходите к психиатору за антипсихотиками.
"Представлена техника атаки для воссоздания ключей ECDSA и DS..."
Отправлено Аноним , 15-Июн-18 14:03 
Они зовутся нейролептиками.
"Представлена техника атаки для воссоздания ключей ECDSA и DS..."
Отправлено Шизиатр , 15-Июн-18 16:36 
Теперь антипсихотиками, потому что не все они умеют вызывать нейролепсию. (Да простят меня модераторы за оффтоп)
"Представлена техника атаки для воссоздания ключей ECDSA и DS..."
Отправлено PereresusNeVlezaetBuggy , 15-Июн-18 19:23 
> Теперь антипсихотиками, потому что не все они умеют вызывать нейролепсию. (Да простят
> меня модераторы за оффтоп)

Как может быть оффтопом то, что касается доброй половины посетителей Опеннета?

"Представлена техника атаки для воссоздания ключей ECDSA и DS..."
Отправлено omnomnim , 15-Июн-18 22:23 
не стоит ТАК преувеличивать свою важность ;)
"Представлена техника атаки для воссоздания ключей ECDSA и DS..."
Отправлено Вася , 15-Июн-18 13:41 
Конкретно эта атака завязана не только на 8086, а на все архитектуры где скорость вычисления модуля зависит от значений параметров. Как указали выше, проблема в программистах, которые не знают что криптографические операции должны выполняться за постоянное время.

Что не отрицает того что архитектура с пресказаниями для оптимизации как оказалось имеет массу проблем с безопасностью. И это не только x86, как мы узнали в этом году. Грусть и печаль, и новое светлое будущее, где этого не будет.

"Представлена техника атаки для воссоздания ключей ECDSA и DS..."
Отправлено Нанобот , 15-Июн-18 14:00 
>архитектура 8086 начинает рушиться

да ладно. вот, например, если бы какая-то последовательность команд приводила к зависанию, или если б были случайные искажения данных - тогда это можно было бы называть "рушиться", а так...просто мелкие трещины пошли, залатают и забудут (или просто забудут)

"Представлена техника атаки для воссоздания ключей ECDSA и DS..."
Отправлено Аноним , 15-Июн-18 22:02 
Благородный дон не в курсе что большинство уязвимостей работают в том или ином виде и на других архитектурах?
"Представлена техника атаки для воссоздания ключей ECDSA и DSA"
Отправлено Онанимус , 15-Июн-18 13:31 
Тема RSA не раскрыта.
"Представлена техника атаки для воссоздания ключей ECDSA и DSA"
Отправлено Andrey Mitrofanov , 15-Июн-18 13:38 
> Тема RSA не раскрыта.

Туда =>https://www.schneier.com/blog/tags.html

"Представлена техника атаки для воссоздания ключей ECDSA и DSA"
Отправлено Онанимус , 15-Июн-18 15:24 
>> Тема RSA не раскрыта.
> Туда =>https://www.schneier.com/blog/tags.html

То, что с RSA куча проблем и что Шнайер в это тыкал, я знаю. И в пдфке из новости на все это ссылаются. Но из прфки не ясно, их метод применим к RSA или не применим принципиально - не ясно.

"Представлена техника атаки для воссоздания ключей ECDSA и DSA"
Отправлено Нанобот , 15-Июн-18 14:01 
> Тема RSA не раскрыта.

всё в твоих руках

"Представлена техника атаки для воссоздания ключей ECDSA и DS..."
Отправлено Аноним , 15-Июн-18 14:57 
В каждой теме вспоминают устаревшего вендора Intel, вместо хайпов EPYC Zen2+... и выкидывания на помойку синего кремния из ЦОДов.
"Представлена техника атаки для воссоздания ключей ECDSA и DS..."
Отправлено IRASoldier , 15-Июн-18 16:59 
Только Эльбрус, только хардкор!
"Представлена техника атаки для воссоздания ключей ECDSA и DS..."
Отправлено Ващенаглухо , 15-Июн-18 15:26 
/etc/ssh/sshd_config
Ciphers chacha20-poly1305@openssh.com
HostKey /etc/ssh/ssh_host_ed25519_key

/etc/sysconfig/sshd
AUTOCREATE_SERVER_KEYS="ED25519"

должно спасти, правда старье всякое не подключится :)

"Представлена техника атаки для воссоздания ключей ECDSA и DS..."
Отправлено Онанимус , 15-Июн-18 15:31 
> правда старье всякое не подключится :)

так отож (

"Представлена техника атаки для воссоздания ключей ECDSA и DS..."
Отправлено Аноняшка , 15-Июн-18 15:28 
А какая процессорная архитектура практически безопасна? Ну, кроме теплого лампового советского калькулятора с плавающей точкой?
"Представлена техника атаки для воссоздания ключей ECDSA и DS..."
Отправлено 1 , 15-Июн-18 15:32 
z390 же
"Представлена техника атаки для воссоздания ключей ECDSA и DS..."
Отправлено Аноним , 15-Июн-18 16:10 
ельбрус в нативном режиме - под него нельзя сканпелировать троян, зырящий в кеш процессора, ибо нечем
"Представлена техника атаки для воссоздания ключей ECDSA и DS..."
Отправлено Аноним , 15-Июн-18 16:39 
Ну типа Security by obscurity, да.
"Представлена техника атаки для воссоздания ключей ECDSA и DS..."
Отправлено Аноним , 15-Июн-18 17:32 
Нет, настоящая физическая защита
"Представлена техника атаки для воссоздания ключей ECDSA и DS..."
Отправлено Ilya Indigo , 15-Июн-18 18:00 
... не подвержена проблемам ... только алгоритм Ed25519!
"Представлена техника атаки для воссоздания ключей ECDSA и DS..."
Отправлено PereresusNeVlezaetBuggy , 15-Июн-18 19:24 
> ... не подвержена проблемам ... только алгоритм Ed25519!

Шнайер в доле.

"Представлена техника атаки для воссоздания ключей ECDSA и DS..."
Отправлено Stax , 16-Июн-18 10:11 
Еще бы браузеры его поддерживали для подписи сертификатов. Без возможности использовать его в TLS ему грош цена (я понимаю, конечно, про ssh, но это в общем и целом ни о чем).
"Представлена техника атаки для определения ключей ECDSA и DS..."
Отправлено Аноним , 15-Июн-18 22:22 
биткоин уже подешевел?