CVE-2024-31497 в PuTTY
Многие используют PuTTY, а также – ключи на кривой NIST P-521, потому что считают (не без оснований), что здесь бо́льшая разрядность (например, по сравнению с кривой P-256) обеспечивает бо́льшую стойкость. В PuTTY выявлен дефект реализации ECDSA на данной кривой, который приводит к раскрытию секретного ключа по набору подписей, полученных от него – то есть, большее количество разрядов не только не помогло, но и сыграло в сторону ухудшения. Это CVE-2024-31497.
Математический смысл уязвимости следующий. Алгоритм вычисления подписи в ECDSA использует nonce – это секретный, (псевдо)случайный параметр, который обычно обозначают k. Здесь в nonce, из-за ошибки в коде, зафиксировали девять битов в начале (или в конце) записи. (Девять, видимо, потому, что 521-512 == 9.) Речь тут не про секретный ключ, а про дополнительное значение: секретный ключ в обычной ECDSA не меняется от подписи к подписи, что для данной атаки имеет определяющее значение, а вот параметр/nonce, при этом, меняется. Однако, если известно дополнительное распределение для k, как в случае данного дефекта, то часто можно вычислить секретный ключ, задействовав некоторое количество значений подписей. В случае CVE-2024-31497, девять фиксированных последовательных битов позволяют раскрыть секретный ключ за, как пишут, примерно, 60 подписей.
Адрес записки: https://dxdt.ru/2024/04/16/12836/
Похожие записки:
- RCE через ssh-agent
- URL и ссылки в письмах
- Автомобили, "подключенные" для сбора данных
- Падения Facebook.com
- Техническое: poison-расширение и SCT-метки в Certificate Transparency
- Алгоритм Шора в фантастической машине превращения вероятностей
- Техническое: добавление ключей в dnssec.pw
- Удаление "неактивных" google-аккаунтов
- Демонстрация утечек через ПЭМИН для видеокамер
- Про цепочки, RSA и ECDSA
- DNSSEC и особенности развития технологий
Комментарии читателей блога: 2
1 <t> // 18th April 2024, 13:06 // Читатель А. написал:
А если private keys вообще не используешь (входишь через username/password), данная атака может быть применена ?
2 <t> // 18th April 2024, 16:24 // Александр Венедюхин:
> данная атака может быть применена?
Нет. Работает только для авторизации по ключам, и только для конкретных параметров криптосистемы – ECDSA/P-521.
Написать комментарий