اكتشف الباحثون في Cryspen مؤخرًا ثغرة في آلية التجسيد المفتاحي لـ Kyber التي تستخدم لتشفير البيانات بتقنية مضادة للكمبيوترات الكمية. يُطلق على هذه الثغرة اسم KyberSlash، وقد يسمح هذا العيب في النظام باستعادة المفاتيح السرية وبذلك يتعرض التشفير للخطر.
Kyber هو التنفيذ الرسمي لنظام التجسيد المفتاحي لـ Kyber وهو جزء من مجموعة أدوات التشفير للشبكات اللابتة الجبرية (CRYSTALS). تم تصميمه لمقاومة الهجمات من الكمبيوترات الكمية ويعد جزءًا من اختيارات المعهد الوطني للمعايير والتكنولوجيا (NIST) للخوارزميات القائمة على التجاذب.
تعتمد ثغرات KyberSlash على الهجمات الزمنية التي تستغل بعض عمليات القسمة التي يقوم بها Kyber أثناء عملية الإزالة. يمكن للمهاجمين من خلال تحليل وقت التنفيذ استنتاج أسرار تعرض التشفير للخطر. يمكن لهذا النوع من الهجوم أن يحدث إذا سمحت الخدمة التي تنفذ Kyber بطلبات عملية متعددة تتجه نحو نفس زوج مفاتيح، مما يتيح قياس الفروق في الوقت واحتمالًا لحساب المفتاح السري.
اكتشف الباحثون في Cryspen، بما في ذلك Goutam Tamvada و Karthikeyan Bhargavan و Franziskus Kiefer، الشيفرة المشكوك فيها المسؤولة عن ثغرة KyberSlash. عندما اكتُشف الإصدار الأول من KyberSlash1، قامت Cryspen بالإبلاغ عنه لمطوري Kyber الذين أصدروا تصحيح في 1 ديسمبر 2023. ومع ذلك، لم يبدأ Cryspen في إبلاغ المشاريع المتأثرة بضرورة ترقية تنفيذاتها لـ Kyber حتى 15 ديسمبر. تم إصلاح KyberSlash2 في 30 ديسمبر بعد الكشف عنها وتقديم تقرير سليم من قِبل Prasanna Ravi و Matthias Kannwischer.
تم تجميع قائمة بالمشاريع المتأثرة وحالة إصلاحها. بعض المشاريع تم إصلاحها بالكامل، بينما لم يتلق بعضها سوى تصحيحات لـ KyberSlash1 فقط. لا تزال العديد من المشاريع غير مُصلحة، مما يجعلها عرضة لثغرة KyberSlash.
تتفاوت أثر KyberSlash اعتمادًا على تنفيذ Kyber والإجراءات الأمنية الإضافية المتبعة. على سبيل المثال، صرحت Mullvad VPN أنها ليست متأثرة بـ KyberSlash لأنها تستخدم أزواج مفاتيح فريدة لكل اتصال تونل جديد، مما يمنع سلسلة من هجمات التوقيت.
تُبذل الجهود لمعالجة الثغرة وإصلاح التنفيذات المتأثرة. ومع ذلك، لم يتم تحديد مدى تأثير المشروعات مثل تطبيق Signal messenger والإجراءات التي سيتخذونها للتخفيف من هذه المشكلة.
من الأهمية بمكان أن تبقى المؤسسات والمطورون الذين يستخدمون Kyber على اطلاع على الثغرة وتطبيق التصحيحات والتحديثات على الفور عند توافرها.
The source of the article is from the blog radiohotmusic.it