Estoy analizando el impacto de CVE-2016-1000341 con una puntuación de CVSS de 7.5 y una descripción "Generación de firmas DSA vulnerable al ataque de tiempo. Cuando se pueden observar los tiempos de cerca para la generación de firmas, la falta de cegamiento en 1.55 o anterior, puede permitir que un atacante obtenga información sobre el valor k de las firmas y, en última instancia, también sobre el valor privado ". BouncyCastle lo reconoce aquí: enlace .
Estoy confundido por la línea: "La generación de firmas DSA es vulnerable a los ataques de tiempo". Si bien entiendo qué es un ataque de tiempo, estoy confundido por la cláusula "Generación de firma DSA". ¿Cuál es el significado preciso de este término? ¿Cuál de los siguientes dos o algo más es verdad?
- Si una aplicación está firmando y verificando digitalmente datos con la biblioteca BouncyCastle usando una clave pública / privada, ¿es vulnerable debido a esta vulnerabilidad? O
- ¿Significa "generación de firma DSA" la generación de claves privadas y públicas que se utilizan en la validación de firmas digitales?
¡Cualquier orientación aquí sería muy apreciada!
Saludos cordiales, Shashi