「PuTTY」に秘密鍵が復元できてしまう深刻な脆弱性 ～「WinSCP」など他ツールにも影響／v0.81への更新と鍵の再生成を

[ockeghem]

PuTTYを含む一部のプログラムではnonceが十分にランダムではないため、署名を少し集めるだけでオフライン環境で秘密鍵を算出できてしまう可能性

[bikeshed]

CVE-2024-31497 / （コメ変更）鍵生成ではなく署名に脆弱性があるため、OpenSSHで生成してもPuTTY/TortoiseGit等にインポートして使用していれば影響があります。ただし影響があるのはECDSA P-521のみです。

[knok]

かつてDebianがやってしまったOpenSSLの穴(乱数が16ビット空間に限定されてしまった)を思い出す https://www.jpcert.or.jp/at/2008/at080008.txt

[puhu208n]

ECDSAの処理に乱数として512で割った余りを使っている部分があり、鍵長521ビットの場合 512 < 521 なため余りが正しく発生せず推測できるらしい。ECDSA 521bit鍵を使っていた場合は漏れている可能性がある。RSA派の大勝利だな。

[yaminusi]

殆どの人はデフォルトのまま (RSA か ed25519) 生成してて、ECDSA は拘りのある人が使ってるだけじゃないかな。穴には違いないがこれを機に短い RSA 使ってたら差し替えるぐらいの感じで。/ WinSCP 6.3.3 出た。

[iouri]

ECDSAで作った秘密鍵だけ作り直しが必要でrsa4096やed25519は大丈夫なのかなぁ？

[spark7]

マウスグルグルしたのにダメだったのか。ECDSAというのは使ったことない気がする。

[Bookmarker]

固定値にしたPlayStation 3よりはマシさ。ハハハハ https://ja.wikipedia.org/wiki/%E6%A5%95%E5%86%86%E6%9B%B2%E7%B7%9ADSA#%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3

[prograti]

"If the key has been used to sign arbitrary data (e.g., git commits by forwarding Pageant to a development host), the publicly available signatures (e.g., on GitHub) can be used as well. " https://seclists.org/oss-sec/2024/q2/122

[ya--mada]

NVDでのスコア算出が止まっているので数値として評価されていないが、成立のための署名はputtyクライアントを奪うか、偽サーバーかサーバー乗っ取りと組み合わせる必要がある。/キャプチャ済みのデータから窃取可能か🫨

[n2s]

わぁ、いつぞやのDebian上のOpenSSLを思い出す / 影響するのはECDSA 521bitの秘密鍵のみなんだけど書いてなくて無用な混乱招くだろこれ(当方もECDSAは飛ばしてEd25519使ってたので難を逃れていた)

[k-holy]

慌てて社内通知しちゃったけど、Ed25519なら大丈夫ってことなら、特に問題なかったわ…。

[arajin]

“「PuTTY」はさまざまなアプリにバンドル（同梱）されているので注意。「FileZilla」や「TortoiseGit」にはすでに対策版がある（それぞれv3.67.0、v2.15.0.1 hotfix）。「WinSCP」にはまだアップデートがない”

[TakamoriTarou]

ぎゃー

[magnitude99]

愚かな99％層が人間牧場建設を黙認。「超監視社会」ブルース・シュナイアー 暗号研究者、コンピュータ・セキュリティの世界的権威。DATA and GOLIATH →　https://www.soshisha.com/book_search/detail/1_2237.html?mode=detail&type=1&search_word_g=2237

[xlc]

情報が不十分で対策が伝わっていないと思う。PuTTYを使ってSSHでログインしていた人は、PuTTYを脆弱性のない版にした上で(生成方法に関わらず)秘密鍵を再作成する必要があるということ？

[t-murachi]

TortoiseGit辺りは会社でも使ってる人いるからアナウンスしとかないとだなぁ(´・ω・`)

[smoking186]

NIST P-521を使ってる場合に *同じ署名鍵* で複数メッセージに署名を作成すると秘密鍵が漏洩する。521ビット乱数を作らないといけないのに512ビット乱数を使っていたそうな。

[twotiger]

確かに60個署名を集めるというのが無理そう。実際の被害は少なそう

[leiqunni]

この脆弱性に膝を折って感謝することもあるかもよ。

[nakag0711]

https://www.chiark.greenend.org.uk/~sgtatham/putty/wishlist/vuln-p521-bias.html

[prjpn]

ヤバすぎ

[Goldenduck]

ひぇ、でも古いやつはrsaだし近年はed25519だから関係ないのか

[ebibibi]

おおお

[namisk]

おおう、バンドル多いから大変そ。Windows使ってた頃は結構入ってたなあ

[ot2sy39]

多分踏んでないが、確認しないと。

[bfoj]

えっ？まさかのrsa勝ち組？

[nakakzs]

あーこれはまずいな。急いでアップデートしておかないと。

[gifuwasabii]

やばそう

[m10i]

ed25519派

[defiant]

この記事をおすすめしました

[taruhachi]

たった60個ほどの署名からNIST P-521秘密鍵を復元できてしまう脆弱性？？そんなに鍵ばら撒くかなぁ。。。

[HiddenList]

Putty といえば　「レインボーアイランド パティーズ☆パーティー」やろがい！

[hanajibuu]

今すぐどうこうって話ではないってことにしておこう。