NinjaLab-turvallisuustutkijat ovat kehittäneet uuden hyökkäyksen sivukanava (CVE-2021-3011) kloonata ECDSA-avaimet, jotka on tallennettu USB-rahakkeisiin NXP-sirujen perusteella.
Hyökkäys osoitettu Google Titanin kaksivaiheisissa todennustunnuksissa perustuu NXP A700X -piiriin, mutta teoriassa pätee samaa sirua käyttäviin Yubico- ja Feitian-salaustunnuksiin.
Ehdotettu menetelmä antaa hyökkääjän luoda uudelleen tunnukseen tallennetut ECDSA-avaimet saatujen tietojen perusteella analysoimalla tunnuksen lähettämä sähkömagneettinen signaali digitaalisten allekirjoitusten luomisen aikana.
Tutkijat ovat osoittaneet, että sähkömagneettinen signaali korreloi ECDSA: n lyhytaikaisen avaimen tiedon kanssa, mikä on riittävä salaisen avaimen hakemiseksi koneoppimistekniikoilla.
Erityisesti signaalin muutoksen luonne sallii yksittäisten bittien informaation poimimisen kertomalla skalaarilla toimissa, joissa on elliptinen käyrä.
ECDSA: n osalta määritellä jopa muutama bitti informaatiolla yli alustusvektorin (nonce) riittää suorittaa hyökkäys ja palauttaa yksityinen avain peräkkäin. Salaisen avaimen palauttamiseksi Google Titan -tunnisteessa riittää, että analysoidaan noin 6.000 digitaalisen allekirjoituksen operaatiota perustuen ECIDSA-avaimeen, jota käytetään FIDO U2F kaksitekijän todennuksessa, kun muodostat yhteyden Google-tiliin.
Löytää heikkouksia algoritmin toteutuksessa ECDSA: ta NXP ECDSA -piireillä käytettiin avointa alustaa NXP J3D081 (JavaCard) -korttien luomiseen, mikä on hyvin samanlainen kuin NXP A700X -piirit ja käyttää identtistä salaustekirjastoa, mutta tarjoaa samalla enemmän mahdollisuuksia tutkia ECDSA-moottorin toimintaa. JavaCard-avaimen hakemiseksi riitti analysoida noin 4000 operaatiota.
Hyökkäyksen suorittamiseksi sinulla on oltava fyysinen pääsy tunnukseen, eli tunnuksen on oltava hyökkääjän käytettävissä tutkittavaksi pitkään. Lisäksi siru on panssaroitu alumiiniruudulla, joten kotelo on purettava, mikä vaikeuttaa hyökkäyksen jälkien piilottamista, esimerkiksi Google Titan -merkit on suljettu muoviin, eikä niitä voida purkaa ilman näkyviä jälkiä. (Kuten ehdotetaan tulostettavaksi uuden kotelon 3D-tulostimelle).
Avaimen noutaminen kestää noin 6 tuntia FIDO U2F -tililtä ja vaatii noin Lisää 4 tuntia tunnuksen purkamiseen ja kokoamiseen.
Hyökkäys vaatii myös melko kalliita laitteita, joka maksaa noin 10 euroa, taitoja mikropiirien ja erikoisohjelmistojen käänteissuunnittelussa, jota ei jaeta julkisesti (hyökkäyksen mahdollisuuden vahvistavat Google ja NXP).
Hyökkäyksen aikana Langer ICR HH 500-6 -mittauskompleksi mikropiirien testaamiseen sähkömagneettista yhteensopivuutta varten Langer BT 706 -vahvistin, Thorlabs PT3 / M -mikromanipulaattori, jonka resoluutio on 10 μm, ja nelikanavainen PicoScope 6404D -oskilloskooppi.
Palvelinpuolella toteutettuna menetelmänä osittaiseksi suojaamiseksi kloonattujen tunnusten käytöstä kaksitekijän todennuksessa ehdotetaan FIDO U2F -spesifikaatiossa kuvatun laskumekanismin käyttöä.
FIDO U2F -standardi merkitsee alun perin yhden avainjoukon olemassaoloa, mikä johtuu siitä, että protokolla tukee vain kahta perustoimintoa: rekisteröintiä ja todennusta.
Rekisteröitymisvaiheessa uusi avainpari luodaan, yksityinen avain tallennetaan tunnukseen ja julkinen avain lähetetään palvelimelle.
Tunnuspuolen todennustoiminto luo palvelimen lähettämille tiedoille ECDSA-digitaalisen allekirjoituksen, joka voidaan sitten tarkistaa palvelimella julkisella avaimella. Yksityinen avain pysyy aina tunnuksessa eikä sitä voi kopioida, joten jos uusi tunnus on sidottava, uusi avainpari luodaan ja vanha avain lisätään peruutettujen avainten luetteloon.
lähde: https://ninjalab.io