公開日:2011/05/18 最終更新日:2011/05/18

JVNVU#536044
OpenSSL における ECDSA 秘密鍵が漏えいしてしまう問題

概要

OpenSSL を実装した複数の製品には、ECDSA の秘密鍵が漏えいする問題が存在します。

影響を受けるシステム

OpenSSL で ECDSA による認証方式を実装している製品が本脆弱性の影響を受ける可能性があります。

詳しくは US-CERT Vulnerability Note VU#536044 が提供する情報をご確認ください。

詳細情報

OpenSSL を実装した複数の製品には、タイミング攻撃 (timing attack) によって ECDSA の秘密鍵が漏えいする問題が存在します。

"Remote Timing Attacks are Still Practical" には、以下のように記述されています。

"For over two decades, timing attacks have been an active area of research within applied cryptography. These attacks exploit cryptosystem or protocol implementations that do not run in constant time. When implementing an elliptic curve cryptosystem that provides side-channel resistance, the scalar multiplication routine is a critical component. In such instances, one attractive method often suggested in the literature is Montgomery’s ladder that performs a fixed sequence of curve and field operations.

This paper describes a timing attack vulnerability in OpenSSL's ladder implementation for curves over binary fields. We use this vulnerability to steal the private key of a TLS server where the server authenticates with ECDSA signatures. Using the timing of the exchanged messages, the messages themselves, and the signatures, we mount a lattice attack that recovers the private key."

想定される影響

遠隔の第三者によって、ECDSA の秘密鍵が取得される可能性があります。

対策方法

2011年5月18日現在、対策方法はありません。

ワークアラウンドを実施する
対策版が公開されるまでの間、以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

  • ECDSA による認証方式を使用しない

ベンダ情報

ベンダ リンク
OpenSSL Project Documents, ecdsa(3)

参考情報

  1. US-CERT Vulnerability Note VU#536044
    OpenSSL leaks ECDSA private key through a remote timing attack
  2. Cryptology ePrint Archive: Report 2011/232
    Remote Timing Attacks are Still Practical

JPCERT/CCからの補足情報


JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia