| Описание |
Существует ошибка распространения переноса в процедуре умножения Монтгомери, характерной для Broadwell, которая обрабатывает входные длины, кратные 256 битам, но превышающие их. Анализ показывает, что атаки на закрытые ключи RSA, DSA и DH невозможны. Это связано с тем, что рассматриваемая подпрограмма не используется в операциях с самим закрытым ключом и вводом по прямому выбору злоумышленника. В противном случае ошибка может проявиться в виде временных сбоев аутентификации и согласования ключей или воспроизводимого ошибочного результата операций с открытым ключом со специально созданными входными данными. Среди алгоритмов EC затрагиваются только кривые Brainpool P-512, и один из них предположительно может атаковать согласование ключей ECDH. Воздействие подробно не анализировалось, поскольку предпосылки для атаки маловероятны. А именно, несколько клиентов должны выбрать рассматриваемую кривую, а сервер должен совместно использовать закрытый ключ между ними, что не является поведением по умолчанию. Даже в этом случае будут затронуты только клиенты, выбравшие кривую. |
