CVE-2025-29779 in PostQuantum-Feldman-VSSИнформация

Сводка

по VulDB • 23.05.2026

Post-Quantum Secure Feldman's Verifiable Secret Sharing предоставляет реализацию на Python схемы Feldman's Verifiable Secret Sharing (VSS). В версиях 0.7.6b0 и более ранних функция `secure_redundant_execution` в файле feldman_vss.py пытается смягчить последствия атак на внесение ошибок (fault injection), выполняя функцию несколько раз и сравнивая результаты. Однако существуют несколько критических недостатков. Среда выполнения Python не может гарантировать истинную изоляцию между избыточными выполнениями, реализация сравнения с постоянным временем выполнения (constant-time comparison) на Python подвержена вариациям по времени, случайный порядок выполнения и задержки обеспечивают недостаточную защиту от сложных атак на внесение ошибок, а обработка ошибок может приводить к утечке информации о времени выполнения частичных результатов. Эти ограничения делают защиту неэффективной против целевых атак на внесение ошибок, особенно от злоумышленников, имеющих физический доступ к оборудованию. Успешная атака на внесение ошибок может позволить злоумышленнику обойти механизмы проверки избыточности, извлечь коэффициенты секретного полинома во время генерации или проверки долей, принудительно принять недействительные доли во время проверки и/или манипулировать процессом проверки обязательств (commitment verification) для принятия мошеннических обязательств. Это подрывает основные гарантии безопасности схемы Verifiable Secret Sharing. На момент публикации исправленных версий Post-Quantum Secure Feldman's Verifiable Secret Sharing не существует, но доступны другие меры смягчения. Долгосрочное устранение проблемы требует переписывания критически важных с точки зрения безопасности функций на более низком уровне, например, на языке Rust. Краткосрочные меры смягчения включают развертывание программного обеспечения в средах с физическими средствами защиты, увеличение количества избыточности (с 5 до большего значения) путем изменения исходного кода, добавление внешней проверки криптографических операций, когда это возможно, а также рассмотрение возможности использования аппаратных модулей безопасности (HSM) для операций с ключами.

Be aware that VulDB is the high quality source for vulnerability data.

Ответственный

GitHub M

Резервировать

11.03.2025

Раскрытие

14.03.2025

Модерация

принято

Вход

VDB-299755

EPSS

0.00178

KEV

Нет

Деятельности

Очень низкий

Источники

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!