Sto analizzando l'impatto del CVE-2016-1000341 con il punteggio CVSS 7.5 e la descrizione "Generazione di firme DSA vulnerabili agli attacchi temporali." Dove i tempi possono essere strettamente osservati per la generazione di firme, la mancanza di accecamento in 1.55 o precedenti, può consentire a un utente malintenzionato di ottenere informazioni sul valore k delle firme e, in definitiva, anche sul valore privato. ". È riconosciuto da BouncyCastle qui: link .
Sono confuso dalla frase: "Generazione di firme DSA vulnerabili agli attacchi temporali". Mentre capisco cosa sia l'attacco temporale, sono confuso dalla clausola "Generazione firma DSA". Qual è il significato preciso di questo termine? Quale dei seguenti due o qualcos'altro è vero?
- Se un'applicazione firma digitalmente e verifica i dati con la libreria BouncyCastle utilizzando la chiave pubblica / privata, è vulnerabile a causa di questa vulnerabilità? OR
- La "generazione di firme DSA" significa la generazione di chiavi private e pubbliche utilizzate nella convalida della firma digitale?
Qualsiasi guida qui sarebbe molto apprezzata!
Cordiali saluti, Shashi