¿Está Ed25519 todavía seguro, a pesar del ataque de falla publicado en 2017?

Question

¿Está Ed25519 todavía seguro, a pesar del ataque de falla publicado en 2017?

#1 de forest (3 votos)

2

He oído que Ed25519 es una nueva firma digital. Tiene un tamaño de clave pública más pequeño y genera una clave pública más rápidamente. Leí un artículo sobre Ed25519 titulado ataque de falla práctica contra Ed25519 y Esquema de firma EdDSA . El artículo menciona que la clave privada se puede recuperar en un llamado "ataque de falla". Sabiendo esto, ¿el esquema Ed25519 sigue siendo seguro?

digital-signature

pregunta Aymn Alaney 12.06.2018 - 14:40

fuente

1 respuesta

Lea otras preguntas en las etiquetas digital-signature

¿Por qué las personas verifican el pasaporte en eventos de firma de claves? ¿A quién informo sobre este extraño comportamiento (posiblemente un sitio web secuestrado o DNS Highjack)?

score 3 · Accepted Answer

Sí, Ed25519 sigue siendo seguro. El paper describe un ataque contra el hardware que procesa firmas Ed25519. No es un ataque criptográfico contra el propio algoritmo. Como se explica aquí , un ataque de falla (también llamado ataque de falla) implica tratando de confundir a un procesador mientras procesa material criptográfico para hacer que falle de una manera que filtre la clave privada. A menos que alguien esté conectando sondas eléctricas a su CPU, el ataque no le afectará en absoluto.

El ataque consiste en conectar un dispositivo a la CPU y "interceptarlo", por ejemplo, alimentando demasiado o muy poco voltaje en momentos específicos. Si la falla se produce mientras se procesa el material criptográfico, es posible descubrir información sobre la clave observando los resultados de la falla. Es un procedimiento muy invasivo, como se puede ver en esta foto del ataque que se está realizando:

Del texto que describe esta imagen:

Lo demostramos en un Arduino Nano, utilizando la implementación Crypto Ed25519 de Arduino Libs y fallas de voltaje simples. Pudimos causar errores aleatorios de un solo byte al final del cálculo de H (R, A, M), lo que nos permite forzar de manera eficiente la ubicación y el valor del error, recuperando así la mitad de la clave secreta.

Entonces, ¿por qué es de interés este ataque? La respuesta es simplemente que no todos los usos de Ed25519 se producen en una máquina sobre la que usted tiene control total. Por ejemplo, los dispositivos integrados seguros, como las tarjetas inteligentes, pueden caer en manos adversas. Estos dispositivos están diseñados para ser seguros y no revelar su clave privada, incluso si tiene acceso físico a ellos, por lo que sería malo si pudiera robar la clave privada con solo monitorear el dispositivo mientras se alimenta con un voltaje incorrecto. Este ataque no significa que todo uso de Ed25519 esté condenado a ser vulnerable a un ataque por falla, solo que cada implementación debe aplicar mitigaciones para evitar este problema en situaciones donde sea relevante.