![[CERT-SE]](/static/img/cert-se.svg)
![[MSB]](/static/img/msb.svg)
Publicerad
SR11-099 OpenSSL - Privat ECDSA-nyckel kan läcka
ECDSA-nyckel kan läsas ut med hjälp av tidsbaserad attack.
Problembeskrivning
CVE-referens:-
OpenSSL innehåller en mängd kryptografiska funktioner, bland annat ECDSA (Elliptic Curve Digital Signature Algorithm). Denna implementation har visat sig vara sårbar mot en tidsbaserad attack ("timing attack"), där den privata ECDSA-nyckeln kan extraheras av angriparen från en TLS-server som använder ECDSA för autentisering.
Sårbarheten kommer kanske inte få så stor praktisk betydelse eftersom användningen av ECDSA är begränsad och tidsbaserad attacker kan vara svåra att utföra i praktiken. Exempelvis inaktiverades kärnor i CPU:n så att endast en enda användes för att underlätta attacken. Inte desto mindre visar sårbarheten att tidsbaserade attacker är möjliga och att hänsyn till detta måste tas vid implementering av kryptografiska funktioner.
För närvarande finns ingen uppdatering av OpenSSL som rättar till säkerhetshålet. I det akademiska pappret (se nedan) finns en patch som lägger till "padding" i algoritmen, vilket gör den mer motståndskraftig.
De två forskarna Billy Bob Brumley och Nicola Tuver vid Aalto University School of Science i Finland upptäckte sårbarheten.
Påverkade versioner
- OpenSSL 0.9.8h
- OpenSSL 0.9.8i
- OpenSSL 0.9.8j
- OpenSSL 0.9.8k
- OpenSSL 0.9.8l
- OpenSSL 0.9.8m
- OpenSSL 1.0.0
- OpenSSL 1.0.0a
Mer information och programrättningar
http://eprint.iacr.org/2011/232
http://www.kb.cert.org/vuls/id/536044
http://secunia.com/advisories/44572/