关注我们:

solidot新版网站常见问题,请点击这里查看。

VaultHSM:OpenPGP智能卡中确定性 ECDSA的测试方法

安全
matrix (791)发表于 2021年11月03日 21时57分 星期三

来自超能第七感·碰撞
HardenedVault 写道 "DSA 型签名算法(包括 ECDSA)的原始实现中需要一个和私钥属于同种数学对象(GF(p) 的元素,p 为素数)的随机数,该随机数必须同时满足以下三个性质:1)随机性:无法仅通过被签名数据(以下称“载荷”)和生成的签名推算出来。2)机密性:不可泄露到签名过程之外。3)唯一性:该随机数对不同的载荷必须不同。否则,攻击者将有可能通过载荷与签名推算出私钥。如果该随机数来自一个有缺陷的随机数发生器,则随机性和唯一性会变得难以保证——攻击者可能通过收集足够多的载荷——签名对找到随机数发生器的规律,进而推算出私钥,虽然行业用户认为这是“可忍受”的缺陷直到LadderLeak漏洞的公开披露彻底让真相浮出水面,在最坏的情况下,攻击者只需要付出30万美金就可以破解P-224的密钥。由于开源的安全ECDSA实现进展并不顺利,Vault Labs给出了测试缺陷的方法和临时安全解决方案: 确保所有你使用的证书是>= P-256或者RSA(有其他风险需要考量)以及安全人员不要漏掉对没有接入互联网的服务的审计。"