| 有一个携带传播错误的Broadwell-specific蒙哥马利乘法程序在OpenSSL 1.0.2而1.1.0 1.1.0c处理输入长度整除,但超过256位。分析表明,攻击RSA、DSA和DH私钥是不可能的。这是因为子例程的问题不是与私有密钥本身和操作使用一个输入攻击者直接的选择。否则错误可以体现为瞬态认证和密钥协商失败或可再生的公钥操作拥有精心设计的输入错误的结果。在EC算法只有Brainpool p - 512曲线的影响,一个大概可以攻击ECDH关键谈判。影响是不详细分析了,因为条件攻击被认为是不可能的。即多个客户端必须选择曲线问题和服务器之间共享的私钥,这是默认的行为。即使这样只会影响客户选择了曲线。 |
