Vigil@nce - OpenSSL : obtention du secret ECDSA
mars 2014 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant local peut deviner le secret de ECDSA utilisé par
l’implémentation de OpenSSL, afin d’obtenir des informations
sensibles.
Produits concernés : OpenSSL
Gravité : 1/4
Date création : 21/03/2014
DESCRIPTION DE LA VULNÉRABILITÉ
L’algorithme ECDSA (Elliptic Curve Digital Signature Algorithm)
utilise une valeur "k" secrète.
Cependant, un attaquant local peut observer le processus lié à
OpenSSL, et utiliser l’attaque "FLUSH+RELOAD Cache" sur une
branche conditionnelle (if) pour obtenir bit à bit la valeur
secrète "k".
Un attaquant local peut donc deviner le secret de ECDSA utilisé
par l’implémentation de OpenSSL, afin d’obtenir des informations
sensibles.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/OpenSSL-obtention-du-secret-ECDSA-14462