Fragen? Antworten! Siehe auch: Alternativlos
RSA digital signatures can reveal a signer’s secret key if a computational or hardware fault occurs during signing with an unprotected implementation using the Chinese Remainder Theorem and a deterministic padding scheme like PKCS#1 v1.5.
Der Angriff ist mächtig genug, dass ein einziger beobachteter Fehler reicht.Dann fiel jemandem auf, dass es solche Fehler auch "natürlich" vorkommen, weil Hardware kaputt geht oder vielleicht ist es zu heiß an dem Tag oder irgendein Softwarebug triggert das. Tja und in diesem Paper haben sie mal passiv Verkehr mitgeschnitten und nach solchen Fehlern gesucht, und ... das hat geklappt.
Nun macht SSH aber nicht rohes RSA sondern hat einen Diffie-Hellman-Schritt darüber, und man nahm an, dass es deshalb gegen diesen Angriff immun ist. Ist es aber nicht, sagt dieses Paper jetzt.
In this paper, we show that passive RSA key recovery from a single PKCS#1 v1.5-padded faulty signature is possible in the SSH and IPsec protocols using a lattice attack described by Coron et al. [16 ]. In this context, a passive adversary can quietly monitor legitimate connections without risking detection until they observe a faulty signature that exposes the private key. The attacker can then actively and undetectably impersonate the compromised host to intercept sensitive data.
Das ist eines dieser Papers aus der Kategorie "vielleicht doch lieber Rosenzüchter werden?"Der Angriff betrifft SSH und IKE (Schlüsselaustausch für IPsec). Sie haben dann geguckt, was für Geräte betroffen waren, und das waren ein paar alte Cisco und Zyxel Appliances, und dann noch Geräte von Hillstone Networks und Mocana (beides nie gehört), die sie nicht kontaktieren konnten. Cisco und Zyxel meinten, das betrifft nur Versionen, die seit Jahren out of service sind. Immerhin.
Die Prävalenz dieser Fehlerart ist aber bestürzend groß finde ich:
Our combined dataset of around 5.2 billion SSH records contained more than 590,000 invalid RSA signatures. We used our lattice attack to find that more than 4,900 revealed the factorization of the corresponding RSA public key, giving us the private keys to 189 unique RSA public keys.