Резюме выпуска: функции CMS_decrypt и PKCS7_decrypt уязвимы для Атака в стиле Bleichenbacher, когда злоумышленник может предоставить CMS ил…

Резюме выпуска: функции CMS_decrypt и PKCS7_decrypt уязвимы для Атака в стиле Bleichenbacher, когда злоумышленник может предоставить CMS или S/MIME сообщает и наблюдайте за кодом ошибки и/или выводом дешифрования. Резюме удара: атака в стиле Bleichenbacher позволяет злоумышленнику использовать Уязвимое приложение жертвы как способ расшифровки или подписания сообщений с Частный ключ жертвы RSA. Атака возможна в 2 вариантах. 1. API расшифровки (CMS_decrypt(), PKCS7_decrypt()) используется без предоставление сертификата получателя. В этом случае OpenSSL переносит каждый KeyTransRecipientInfo (KTRI) без остановки при первом успехе. Злоумышленник, который является автором сообщения с двумя записями KTRI — первым заворачивая настоящий CEK под открытый ключ жертвы, второй с Произвольный зонд шифротекст — получает возможность повторить второй KTRI на получить действительную PKCS#1 v1.5 прокладку, если код ошибки приложения доступный. Это оракул Bleichenbacher (Bleichenbacher, CRYPTO '98): an адаптивно-выбранный-шифротекстный боковой канал, с которого злоумышленник расшифровывает любой RSA шифротекст к ключу жертвы или подделка любой подписи PKCS#1 v1.5 под Это. 2. 2. Когда API расшифровки (CMS_decrypt(), PKCS7_decrypt()) предоставляется с сертификат получателя, а получатель не найден, случайный Ключ заменяется. Злоумышленник, который является автором сообщения и может сравнить как код ошибки, так и Результат расшифровки, может монтировать оракула Bleichenbacher. Мы не знаем о каких-либо приложениях, которые предоставляют удаленного злоумышленника возможность организовать атаку, описанную в этих сценариях. Мы рассматриваем наличие такого применения очень маловероятно, и по этой причине CVE оценивается как низкая тяжесть. Чтобы избежать этих атак, когда используется RSA PKCS#1 v1.5 Ключевой транспорт, EVP_PKEY_decrypt() будет использовать описанный механизм неявного отторжения в проекте-irtf-cfrg-rsa-gedance. В предыдущих OpenSSL выпускает неявный Отказ был явно отключен. Неявный механизм отказа всегда возвращает открытую ценность. Симметричный ключ. Этот результат является детерминированным для шифротекста и Приватный ключ. Длина результата дешифрования может совпадать с длина ключа симметричного шифра, который использовался для содержания Шифрование. Если сертификат не предоставлен, последний RecipeientInfo Изготовление ключа, который выглядит действительным, будет использоваться. Это может привести к получению мусора Контент на расшифровке. Как правильный способ справиться с этим получатель сертификат должен быть предоставлен для идентификации конкретной RecipeientInfo для Расшифровка. Модули FIPS в 4.0, 3.6, 3.5 и 3.4 не затрагиваются этой проблемой, так как Обработка CMS и S/MIME происходит за пределами границы модуля OpenSSL FIPS.