HiSolutions Research

Verzer(r)tifiziert – Schwachstelle in elliptischen Kurven

Wenn Implementierungen von kryptografischen Signaturen mit elliptischen Kurven nicht vor Timing-Angriffen geschützt werden, kann ein Angreifer unter Umständen den privaten Schlüssel berechnen. Das zeigte ein tschechisches Forscherteam am Beispiel eines Krypto-Chips namens Athena. Auch mehrere Open-Source-Bibliotheken sind verwundbar. Die verwundbaren Chipkarten wurden nach FIPS und Common Criteria zertifiziert. Den Angriff nennen die Forscher Minerva.

Am selben Forschungsinstitut wurde 2017 die Sicherheitslücke ROCA in der RSA-Implementierung von Infineon-Chips gefunden. Auch Letztere waren zertifiziert, unter anderem vom BSI

Dies zeigt wieder einmal, dass Zertifizierungen nicht alle Aufgaben erfüllen können, die ihnen zugeschrieben werden. 

https://www.golem.de/news/elliptische-kurven-minerva-angriff-zielt-auf-zertifizierte-krypto-chips-1910-144256.html