Rust RSA Crate 曝光: “ Marvin attack ” 设定侧通道威胁时间,私人钥匙恢复

一项关键的安保审计表明,在广泛使用的鲁斯特加密图书馆中存在一种活性弱点,使系统通过网络可观测的定时侧道有可能恢复私人钥匙。 缺陷,称为RUSTSEC-2023-0071并被称为“Marvin攻击”,存在于`rsa'箱型0.9.10。 远程攻击者可以通过时间数据泄露关于私人钥匙的信息。 遥控攻击者可以利用这些数据重建关键和折中加密通信或数据。 脆弱性源于较广泛的时间型侧道攻击, 审计报告明确警告说,攻击者可以通过网络观察时间信息的任何环境都存在这种风险。 目前,该箱没有贴补的版本。 维护者承认这个问题, 指出工作“正准备向一个完全固定的时间执行方向迁移”, 对于在网络环境中使用该箱进行登记册系统管理人业务的任何以拉斯特为基础的服务或应用而言,其直接余波都具有重大意义。 目前唯一的变通办法是避免完全在可能攻击者面临的情况下使用`rsa ' 箱,将其安全用途限于当地非损坏的机器。 这给开发商和组织留下了一个严峻的选择:接受风险、试图更换图书馆或停止部署。 与已知攻击矢量有关的这种无源的脆弱性持续存在,对项目维护者不断施加压力,并提出了关于鲁斯特生态系统依赖软件的安全态势的紧迫问题。