CVE-2024-31497 в PuTTY
Многие используют PuTTY, а также – ключи на кривой NIST P-521, потому что считают (не без оснований), что здесь бо́льшая разрядность (например, по сравнению с кривой P-256) обеспечивает бо́льшую стойкость. В PuTTY выявлен дефект реализации ECDSA на данной кривой, который приводит к раскрытию секретного ключа по набору подписей, полученных от него – то есть, большее количество разрядов не только не помогло, но и сыграло в сторону ухудшения. Это CVE-2024-31497.
Математический смысл уязвимости следующий. Алгоритм вычисления подписи в ECDSA использует nonce – это секретный, (псевдо)случайный параметр, который обычно обозначают k. Здесь в nonce, из-за ошибки в коде, зафиксировали девять битов в начале (или в конце) записи. (Девять, видимо, потому, что 521-512 == 9.) Речь тут не про секретный ключ, а про дополнительное значение: секретный ключ в обычной ECDSA не меняется от подписи к подписи, что для данной атаки имеет определяющее значение, а вот параметр/nonce, при этом, меняется. Однако, если известно дополнительное распределение для k, как в случае данного дефекта, то часто можно вычислить секретный ключ, задействовав некоторое количество значений подписей. В случае CVE-2024-31497, девять фиксированных последовательных битов позволяют раскрыть секретный ключ за, как пишут, примерно, 60 подписей.
Адрес записки: https://dxdt.ru/2024/04/16/12836/
Похожие записки:
- Десятилетие DNSSEC в российских доменах
- Квантовая криптография и металлический контейнер
- Централизация обновлений и CrowdStrike
- Реплика: особенности DNSSEC
- Ядро Linux и звуки ноутбуков
- Kyber768 и TLS-серверы Google
- Автомобили, "подключенные" для сбора данных
- ИИ-корпорация SSI и исправление кода веб-страниц
- FTC про "неправильные" QR-коды
- "Авторизованный трафик" и будущее Интернета
- Различительная способность "обезличенных" данных
Комментарии читателей блога: 2
1. 18th April 2024, 13:06 // Читатель А. написал:
А если private keys вообще не используешь (входишь через username/password), данная атака может быть применена ?
2. 18th April 2024, 16:24 // Александр Венедюхин:
> данная атака может быть применена?
Нет. Работает только для авторизации по ключам, и только для конкретных параметров криптосистемы – ECDSA/P-521.
Написать комментарий