Side-channel kwetsbaarheid in (EC)DSA
(NCSC-2018-0553)

low Kans high Schade
Publicatiedatum: 26 juni 2018
Gerelateerde CVE's

Beschrijving

Security onderzoekers hebben een side channel kwetsbaarheid ontdekt in gebruikte implementaties van het (EC)DSA algoritme en in andere ElGamal-achtige signature algoritmes. Door misbruik te maken van deze kwetsbaarheid is het mogelijk om de private-sleutel van het gebruikte algoritme te achterhalen. Deze algoritmes worden veelal gebruikt in TLS als in SSH communicatie, echter is deze kwetsbaarheid niet gelimiteerd tot deze protocollen. De kwetsbaarheid bestaat doordat een modulaire functie, die wordt gebruikt tijdens het genereren van een (EC)DSA signature, niet in constante tijd wordt uitgevoerd. Indien een kwaadwillende inzicht krijgt in de executie tijd van deze functie is het mogelijk om de private-sleutel te achterhalen door het oplossen van de Hidden Number Problem (HNP). De kwetsbaarheid kan dus alleen misbruikt worden indien inzicht gekregen kan worden in de executietijd van de desbetreffende functie. Dit is via al andere bekende side-channel-aanvallen te achterhalen, zoals de Flush+Reload methodiek of door het analyseren van het stroomverbruik. De onderzoekers hebben kunnen aantonen dat een lokale geautoriseerde kwaadwillende die zich bevindt op hetzelfde systeem als het slachtoffer, in staat is om via side-channel-aanvallen de private-sleutel te achterhalen. De resultaten van het onderzoek zijn te vinden op:
https://www.nccgroup.tru
st/us/our-research/return-of-the-hidden-number-problem/

Mogelijke oplossingen

Meerdere cryptografische libraries zijn kwetsbaar voor de zojuist genoemde kwetsbaarheid. De onderzoekers geven aan dat de volgende producten:
LibreSSL, NSS, OpenSSL, WolfCrypt, Botan, Libgcrypt, MatrixSSL, and BoringSSL, binnenkort updates beschikbaar zullen maken die de kwetsbaarheid verhelpen. Momenteel zijn er geen mitigerende maatregelen bekend. Op het moment van schrijven zijn alleen de volgende updates beschikbaar die de kwetsbaarheid verhelpen.

Debian

Debian heeft updates van libcrypt20 beschikbaar gesteld voor Debian 9.0 (Stretch) om de kwetsbaarheid te verhelpen. U kunt de aangepaste packages installeren door gebruik te maken van 'apt-get update' en 'apt-get upgrade'. Meer informatie kunt u vinden op onderstaande pagina:
https://www.debian.org/security/2018/dsa-4231

OpenBSD

OpenBSD heeft updates beschikbaar gesteld om de kwetsbaarheid te verhelpen in GnuPG. Meer informatie over deze updates vindt u op:
http://www.openbsd.org/errata63.html

Libgcrypt

De ontwikkelaars voor libgcrypt hebben updates beschikbaar gesteld die de kwetsbaarheid verhelpen. De ontwikkelaars geven wel aan dat het kwetsbare protocol niet standaard wordt gebruikt en dat het lastiger is te misbruiken dan voor online protocollen zoals TLS. Voor meer informatie zie:
https://lists.gnupg.org/pipermail/gnupg-announce/2018q2/000426.html

Ubuntu

Canonical heeft updates beschikbaar gesteld voor Ubuntu 14.04 LTS, 16.04 LTS, 17.10 en 18.04 LTS om de kwetsbaarheid te verhelpen. U kunt de aangepaste packages installeren door gebruik te maken van 'apt-get update' en 'apt-get upgrade'. Meer informatie kunt u vinden op onderstaande pagina:
Libgcrypt:
http://www.ubuntu.com/usn/usn-3689-1
OpenSSL:
https://usn.ubuntu.com/3692-1

Vrijwaringsverklaring

Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding.

Trackback link

Nog geen reacties

Wees de eerste die reageert!

Laat een reactie achter

Je moet ingelogd zijn om te kunnen reageren.