CVE-2025-29779 in PostQuantum-Feldman-VSS情報

要約

〜によって VulDB • 2026年06月05日

Post-Quantum Secure Feldman's Verifiable Secret Sharingは、Feldmanの検証可能秘密共有(VSS)スキームのPython実装を提供します。バージョン0.7.6b0およびそれ以前のバージョンでは、`feldman_vss.py`内の`secure_redundant_execution`関数が、関数を複数回実行して結果を比較することで、故障注入攻撃の緩和を試みています。しかし、いくつかの重大な脆弱性が存在します。Pythonの実行環境では冗長な実行間の真の分離を保証できず、Pythonでの定数時間比較の実装はタイミングの変動の影響を受け、ランダムな実行順序とタイミングは洗練された故障攻撃に対する不十分な保護しか提供せず、さらにエラー処理によって部分的な実行結果に関するタイミング情報がリークする可能性があります。これらの制限により、特にハードウェアへの物理的なアクセス権を持つ攻撃者による標的型故障注入攻撃に対して、この保護は無効となります。成功した故障注入攻撃により、攻撃者は冗長性チェックメカニズムを回避し、シェアの生成または検証中に秘密多項式の係数を抽出し、検証中に無効なシェアの受け入れを強制し、および/または不正なコミットメントの受け入れを目的としてコミットメント検証プロセスを操作することが可能になります。これにより、検証可能秘密共有スキームの中核的なセキュリティ保証が損なわれます。公開時点では、Post-Quantum Secure Feldman's Verifiable Secret Sharingのパッチ済みバージョンは存在しませんが、他の緩和策は利用可能です。長期的な対策としては、Rustなどの低レベル言語でセキュリティ上重要な関数を再実装する必要があります。短期的な緩和策としては、物理的なセキュリティ制御が施された環境でのソフトウェア展開、ソースコードの変更による冗長性カウントの増加(5からより高い数値へ)、可能な場合は暗号演算に対する外部検証の追加、キー操作にハードウェアセキュリティモジュール(HSM)の使用検討などが挙げられます。

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

責任者

GitHub M

予約する

2025年03月11日

モデレーション

承諾済み

エントリ

VDB-299755

EPSS

0.00178

アクティビティ

非常低い

ソース

Want to stay up to date on a daily basis?

Enable the mail alert feature now!