• OpenSSL Apresenta Vulnerabilidade

    Uma vulnerabilidade no OpenSSL, relacionada ao vazamento de uma chave privada ECDSA através de um ataque remoto, foi detectada nesta quarta-feira. Em uma análise geral, o quadro apresenta a seguinte situação:

    Análise Geral: A implementação do OpenSSL para multiplicação escalar de pontos numa curva elíptica por campos binários, está suscetível a uma vulnerabilidade de timming attack. Essa vulnerabilidade pode ser usada para roubar a chave privada de um servidor TLS, que faz autenticação com assinaturas ECDSA e curvas binárias.

    I. Descrição: O paper "Remote Timming Attacks are Still Practical", de Billy Bob Brumley e Nicola Tuveri, descreve a vulnerabilidade. Usando o timming das mensagens trocadas, as próprias mensagens, e as assinaturas, é possível montar um tipo de ataque que recupera a chave privada.

    II. Impacto: Um atacante remoto pode recuperar a chave de um servidor TLS, que faz autenticação com assinaturas ECDSA e curvas binárias.

    III. Solução: Até o momento, ainda não há uma solução prática conhecida para esse problema. Nesse caso, não devem ser usadas assinaturas ECDSA e curvas binárias para autenticação.


    Saiba Mais:

    [1] US-CERT http://www.kb.cert.org/vuls/id/536044
    Comentários 1 Comentário
    1. Avatar de BernardoS
      BernardoS -
      Humm
    + Enviar Comentário



Visite: BR-Linux ·  VivaOLinux ·  Dicas-L