Investigadors de seguretat de NinjaLab han desenvolupat un nou atac de canal lateral (CVE-2021-3011) per clonar claus ECDSA emmagatzemades en bus de testimoni basats en xips NXP.
l'atac es va demostrar per als tokens d'autenticació de dos factors de Google Titan basats en el xip NXP A700X, però teòricament s'aplica als tokens criptogràfics Yubico i Feitian que fan servir el mateix xip.
El mètode proposat permet a un atacant recrear les claus ECDSA emmagatzemades en el testimoni basant-se en les dades obtingudes a través d'l'anàlisi del senyal electromagnètica emesa pel token durant la generació de signatures digitals.
Els investigadors han demostrat que el senyal electromagnètica es correlaciona amb la informació de clau efímera de ECDSA, que és suficient per recuperar la clau secreta mitjançant tècniques d'aprenentatge automàtic.
En particular, la naturalesa de l'canvi de senyal permet extreure informació sobre bits individuals durant la multiplicació per un escalar en operacions amb una corba el·líptica.
Per ECDSA, definir fins i tot uns pocs bits amb informació sobre el vector d'inicialització (nonce) és suficient per a realitzar un atac i recuperar seqüencialment tota la clau privada. Per recuperar la clau secreta en el testimoni de Google Titan, n'hi ha prou analitzar unes 6.000 operacions de signatura digital basades en la clau ECDSA utilitzada per a l'autenticació de dos factors FIDO U2F a l'connectar-se a un compte de Google.
Per trobar debilitats en la implementació de l'algoritme ECDSA en xips NXP ECDSA, es va utilitzar una plataforma oberta per a la creació de targetes intel·ligents NXP J3D081 (JavaCard), que és molt similar als xips NXP A700X i utilitza una biblioteca criptogràfica idèntica, però a el mateix temps ofereix més oportunitats per estudiar el funcionament de l'motor ECDSA. Per recuperar la clau de JavaCard, va ser suficient analitzar unes 4000 operacions.
Per dur a terme un atac, s'ha de tenir accés físic a l'token, És a dir el testimoni ha d'estar disponible perquè l'atacant ho investigui durant molt de temps. A més, el xip està blindat amb una pantalla d'alumini, de manera que la carcassa ha de ser desmuntada, el que dificulta ocultar els rastres de l'atac, per exemple, els tokens de Google Titan estan segellats en plàstic i no es poden desmuntar sense rastres visibles (com a opció, es proposa imprimir en una impressora 3D de la nova carcassa).
Es necessiten aproximadament 6 hores per recuperar la clau d'un compte FIDO U2F i es requereixen aproximadament 4 hores més per desmuntar i acoblar el testimoni.
L'atac també requereix equips bastant costosos, Que costen al voltant de 10 mil euros, habilitats en enginyeria inversa de microcircuits i programari especial que no es distribueix públicament (la possibilitat de l'atac està confirmada per Google i NXP).
Durant l'atac, es va utilitzar el complex de mesurament Langer ICR HH 500-6 utilitzat per provar microcircuits per a la compatibilitat electromagnètica, l'amplificador Langer BT 706, el micromanipulador Thorlabs PT3 / M amb una resolució de 10 micres i l'oscil·loscopi de quatre canals PicoScope 6404D.
Com a mètode implementat en el costat de l'servidor per a la protecció parcial contra l'ús de tokens clonats per a l'autenticació de dos factors, es proposa utilitzar el mecanisme comptador descrit en l'especificació FIDO U2F.
L'estàndard FIDO U2F implica inicialment la presència d'un sol conjunt de claus, el que es deu a el fet que el protocol admet només dues operacions bàsiques: registre i autenticació.
En l'etapa de registre, es genera un nou parell de claus, la clau privada s'emmagatzema en un símbol i la clau pública es transmet a servidor.
L'operació d'autenticació de la banda de el testimoni crea una signatura digital ECDSA per les dades transmeses pel servidor, que després es poden verificar al servidor utilitzant la clau pública. La clau privada sempre roman en el testimoni i no es pot copiar, pel que si cal vincular un nou token, es crea un nou parell de claus i la clau anterior es col·loca en la llista de claus revocades.
font: https://ninjalab.io