¿Pueden los problemas de corrección de ECC en CVE-2015-2730 permitir que "los atacantes remotos falsifiquen las firmas de ECDSA"?

2
  

CVE-2015-2730 : Mozilla Network Security Services (NSS) antes de 3.19.1, como se usa en Mozilla Firefox antes de 39.0, Firefox ESR 31.x antes de 31.8 y 38.x antes de 38.1, y otros productos, no realiza correctamente las multiplicaciones de criptografía de curva elíptica (ECC), lo que facilita que los atacantes remotos puedan falsificar firmas de ECDSA a través de vectores no especificados.

     

Las fórmulas que aparecen en ecp_jac.c no manejan el caso cuando la adición produce infinito o agrega un punto a sí misma. Un atacante puede usar esto para generar firmas especialmente diseñadas que hacen que el algoritmo de validación calcule el punto incorrecto.

Para obtener más detalles, consulte el siguiente enlace: enlace

¿Podría este problema de criptografía de curva elíptica llevar realmente a firmas ECDSA falsas o es un ataque puramente teórico?

¿Los problemas de corrección de ECC pueden comprometer la seguridad de otras maneras?

    
pregunta Yustack 01.06.2017 - 21:05
fuente

0 respuestas

Lea otras preguntas en las etiquetas