正文

ECDSA签名生成中的定时侧通道。

admin
admin V管理员 /0 评论 /26 阅读
0422
此篇文章发布距今已超过1099天,您需要注意文章的内容或图片是否可用!

CVE编号

CVE-2019-15809

利用情况

暂无

补丁情况

N/A

披露时间

2019-10-04
漏洞描述
基于Atmel Toolbox 00.03.11.05和AT90SC芯片的Athena SCS制造商的智能卡在ECDSA签名生成中包含定时侧通道。这使本地攻击者能够测量数百到数千次签名操作的持续时间,以计算使用的私钥。发生此问题是因为Atmel工具箱00.03.11.05包含两个版本的ECDSA签名功能,描述为快速和安全的,但是受影响的卡选择使用快速版本,这会通过定时泄漏随机随机数的位长。这会影响Athena IDProtect 010b.0352.0005,Athena IDProtect 010e.1245.0002,Athena IDProtect 0106.0130.0401,Athena IDProtect 010e.1245.0002,Valid S/A IDflex V 010b.0352.0005,SafeNet eToken 4300 010e.1245.0002,TecSec Armored Card 010e.0264.0001,和TecSec Armored Card 108.0264.0001。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
http://www.openwall.com/lists/oss-security/2019/10/02/2
https://csrc.nist.gov/Projects/Cryptographic-Algorithm-Validation-Program/det...
https://eprint.iacr.org/2011/232.pdf
https://minerva.crocs.fi.muni.cz/
https://tches.iacr.org/index.php/TCHES/article/view/7337
https://www.ssi.gouv.fr/certification_cc/bibliotheque-cryptographique-atmel-t...
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 microchip toolbox 00.03.11.05 -
CVSS3评分 4.7
  • 攻击路径 本地
  • 攻击复杂度 高
  • 权限要求 低
  • 影响范围 未更改
  • 用户交互 无
  • 可用性 无
  • 保密性 高
  • 完整性 无
CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N CWE-ID 漏洞类型 CWE-203 通过差异性导致的信息暴露