Существует ошибка переноса при распространении в процедуре умножения Монтгомери, специфичной для Broadwell, в OpenSSL 1.0.2 и 1.1.0 до верс…

Существует ошибка переноса при распространении в процедуре умножения Монтгомери, специфичной для Broadwell, в OpenSSL 1.0.2 и 1.1.0 до версии 1.1.0c, которая обрабатывает длины ввода, делящиеся на, но больше 256 бит. Анализ показывает, что атаки на закрытые ключи RSA, DSA и DH невозможны. Это связано с тем, что рассматриваемая подпрограмма не используется в операциях с самим закрытым ключом и вводом по прямому выбору злоумышленника. В противном случае ошибка может проявляться как временные сбои аутентификации и согласования ключей или воспроизводимый ошибочный результат операций с открытым ключом со специально созданным вводом. Среди алгоритмов EC затронуты только кривые Brainpool P-512, и, предположительно, можно атаковать согласование ключей ECDH. Воздействие не было проанализировано подробно, поскольку предварительные условия для атаки считаются маловероятными. А именно, несколько клиентов должны выбрать рассматриваемую кривую, и сервер должен совместно использовать закрытый ключ между ними, ни одно из которых не является поведением по умолчанию. Даже в этом случае будут затронуты только клиенты, выбравшие кривую.