多个知名加密函式库存在ROHNP漏洞，骇客一分钟就能猜出ECDSA私钥,md5加密后怎么解密,许多加密函式库皆受R

原标题：多个知名加密函式库存在ROHNP漏洞，骇客一分钟就能猜出ECDSA私钥

资安公司Nccgroup揭露了编号为CVE-2018-0495的ROHNP漏洞，该漏洞允许骇客恢复ECDSA或DSA私钥，也就是说当加密函式库进行TLS或SSH连线，以私钥创建签章时，会意外的通过记忆体快取泄漏部分关键资讯，骇客可以在收集数...

资安公司Nccgroup揭露了编号为CVE-2018-0495的ROHNP漏洞，该漏洞允许骇客恢复ECDSA或DSA私钥，也就是说当加密函式库进行TLS或SSH连线，以私钥创建签章时，会意外的通过记忆体快取泄漏部分关键资讯，骇客可以在收集数千个签章流出的资讯后，就能恢复完整私钥，整个过程不需要系统的管理员权限。许多加密函式库皆受ROHNP漏洞影响，包括CryptLib、LibreSSL与OpenSSL等，使用者应尽速更新函式库。

Nccgroup已经使用了最新版本的OpenSSL函式库，完成了ROHNP漏洞的攻击示范，通过记忆体快取旁路攻击，在一分钟以内就能恢复256位元的ECDSA私钥。

ROHNP漏洞影响的情况端看应用程序部署的方式，不过，共通点都是需要骇客与受害者在同一部机器上执行程式码，如此才能构成旁路攻击。Nccgroup提到，最一般符合条件的情况便是在云端环境，当骇客与受害者都被分配到相同的实体主机上，运行各自的虚拟机器时，骇客就能使用跨虚拟机器旁路攻击，达成偷取SSH伺服器金钥或是TLS私钥的目的。

但这些工作对骇客来说很困难，首先骇客必须识别托管服务的云端供应商，接着骇客必须在该供应商云端服务不停地创建虚拟机器，直到其中一台虚拟机器与受害者使用相同的实体机器，有了这个条件才能进行接下来的攻击。第二步，骇客以TLS连接以触发ECDSA签名过程，并使用跨虚拟机器旁路监视泄漏出来的资讯，再使用这些资讯恢复网站私钥。最后骇客才能拦截网站与用户之间的流量，修改TLS封包的内容，并使用偷来的私钥伪造签章。

Nccgroup提到，要使用这个漏洞需要有非常专业的技术，即使完成上述流程中的任一步骤都不容易，不过，因为ECDSA或DSA的使用方式很多种，因此最危险的环节可能会在于有问题的实作模式，或是金钥资讯被轻易地泄漏出去。Nccgroup认为，最具风险的或许是他们还没有想到的旁路攻击实务方面，因此ROHNP漏洞的冲击有可能比想像还大。

ECDSA（Elliptic△Curve△Digital△Signature△Algorithm）与DSA（Digital△Signature△Algorithm）是常见的数位签章演算法，从一般网站到加密货币都可以见到他们的身影。（EC）DSA使用私钥与讯息混合后得到的签章，来证明讯息是真实没有经过窜改的，其混合的计算过程非常简单，仅包含基本的数学运算。

在各加密函式库中，ECDSA私钥与讯息的混合公式就为s△= k-1（m△+ r△* x）（mod△q），x是私钥，m是讯息，k和r是长度与私钥相同的随机数字，组成了这个被称为单向函数的式子。如果从已知推算未知，已有k会很容易算出r，但是只有r会很难算出k。签章人使用x、m、k以及r来算出s，然后回传r与s来当作签章。

骇客已知m、r与s，目的是要算出x。而有问题的地方就发生在mod△q，同余加法运算并非固定时间，当结果大于q时会需要多一次减法计算。骇客通过收集到的签章资料，比对以旁路攻击监控同余运算是否多一次减法计算时间，就能删除不可能的数字组合，通过收集数千个签章后，便能获取剩下唯一的x私钥值。

Nccgroup检查了许多开源加密函式库，有些仅ECDSA或DSA其中一种演算法存在问题，有部份则两种都有。确定存在漏洞的函式库有CryptLib（Both）、LibreSSL（Both）、Mozilla△NSS（Both）、Botan（ECDSA）、OpenSSL（ECDSA）、WolfCrypt（ECDSA）、Libgcrypt（ECDSA）、LibTomCrypt（ECDSA）、LibSunEC（ECDSA）、MatrixSSL（ECDSA）与BoringSSL（DSA）。

Nccgroup提到，这个漏洞揭露属于非典型情况，因为任何一个函式库单独发布安全补丁，都会透漏其漏洞细节，因此在6月13日这个漏洞讯息公开的同时，各加密函式库的更新也都才同时释出。

橙山网（Csnd.net）简评：许多加密函式库皆受ROHNP漏洞影响，包括CryptLib、LibreSSL与OpenSSL等，使用者应尽速更新函式库。Nccgroup已经使用了最新版本的OpenSSL函式库，完成了ROHNP漏洞的