Elliptische Kurven: Minerva-Angriff zielt auf zertifizierte Krypto-Chips

Wenn Implementierungen von kryptographischen Signaturen mit elliptischen Kurven nicht vor Timing-Angriffen geschützt werden, kann ein Angreifer unter Umständen den privaten Schlüssel berechnen. Das zeigte ein tschechisches Forscherteam am Beispiel eines Krypto-Chips namens Athena. Auch mehrere Open-Source-Bibliotheken sind verwundbar. Die verwundbaren Chipkarten wurden nach FIPS und Common Criteria zertifiziert. Ihren Angriff nennen die Forscher Minerva.

Das Problem, das die Forscher hier angreifen, ist ein sogenannter Nonce-Wert, der bei der Erzeugung von Signaturen mit elliptischen Kurven benötigt wird. Dabei handelt es sich um einen Zahlenwert, der einmalig sein muss und den ein Angreifer nicht kennen darf. Wenn ein Angreifer diesen Wert kennt, lässt sich aus einer zugehörigen Signatur trivial der private Schlüssel errechnen.

Länge von Nonces reicht zur Berechnung des privaten Schlüssels

Bereits unvollständige Kenntnisse über den Nonce können für einen Angriff ausreichen, wenn man mehrere Signaturen hat. Genau das nutzen die Entdecker des Minerva-Angriffs: Anhand der Zeit, die eine Signaturoperation braucht, können sie Rückschlüsse auf die Bitlänge des Wertes ziehen. Ein größerer Wert braucht beim Berechnen der Signatur geringfügig länger. Das reicht bereits als Schwachstelle. Mit einigen Hundert bis einigen Tausend beobachteten Signaturen lässt sich ein Angriff durchführen.

Damit ein solcher Angriff funktionieren kann, muss man die Zeit, die eine Signaturoperation benötigt, sehr genau messen können. Als Angriffsziel suchten sich die Forscher daher zunächst Chipkarten. Krypto-Chipkarten sind oft so gebaut, dass man damit zwar Verschlüsselungs- und Signaturoperationen durchführen kann, die privaten Schlüssel sollen aber geschützt auf der Karte verbleiben und nicht extrahiert werden können.

Die verwundbaren Chips stammten von der Firma Athena, die vor einigen Jahren von NXP übernommen wurde. Neuere Produkte von NXP nutzen die entsprechende verwundbare Kryptobibliothek nicht mehr und sind daher nicht betroffen.

Bemerkenswert an der Lücke ist, dass die entsprechenden Chipkarten mehrere Sicherheitszertifizierungen erhielten. Einmal mehr wirft der Vorfall Fragen dazu auf, wie sinnvoll solche Zertifizierungen sind.

Zertifizierung sieht Timing-Sicherheit vor, sie wird aber nicht getestet

Die Chipkarten wurden nach dem US-Standard FIPS 140-2 zertifiziert. Dieser sieht zwar vor, dass entsprechende Algorithmenimplementierungen vor Timing-Angriffen geschützt werden. Es besteht aber kein Zwang, dies auch bei der Zertifizierung zu testen.

Ebenso wurden die Karten nach der in Europa üblichen Zertifizierung Common Criteria geprüft. Durchgeführt wurde diese Zertifizierung von der französischen Behörde ANSSI. Tatsächlich steht im entsprechenden Sicherheitsbericht, dass die entsprechende Funktion nicht Timing-sicher sei, aber da es optional eine weitere, Timing-sichere Implementierung gab, wurde die Zertifizierung trotzdem erteilt.

Der Minerva-Angriff stammt vom selben Forschungsinstitut, das 2017 die Sicherheitslücke ROCA in der RSA-Implementierung von Infineon-Chips gefunden hatte. Auch diese Chips waren zertifiziert - unter anderem vom deutschen BSI.