<div dir="ltr"><div id="m_-3033693642307082424gmail-:t4" aria-label="Message Body" role="textbox" aria-multiline="true" style="direction:ltr;min-height:85px" aria-controls=":vx">Hi Hubert,<div>Thanks for kindly responding to my queries and sharing . I appreciate your support.</div><div><br></div><div>I have a few follow up questions.</div><div><br></div><div>1. Is this issue applicable for non-CRT implementations as well.</div><div>2. What is the number trials (decryption requests) that an attacker requires to mount this attack. Is this in the order of millions/billions ?</div><div>3. If the blinding is of random value ( "<i>r"</i> in a given modulus range) for each decryption how does the attacker get meaningful timing information if the unblinding is not a constant time and keeps changing based on the blinding value. Is unblinding an expensive operation which shall give meaningful bits when doing modulus multiplication with "r^-1". Please correct me if I am missing any basic math here.</div><div><br></div><div>Thanks,</div><div>Girish</div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Mar 13, 2023 at 5:12 AM Hubert Kario <<a href="mailto:hkario@redhat.com" target="_blank">hkario@redhat.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Saturday, 11 March 2023 04:10:58 CET, Girish Yerra wrote:<br>
> Hi All,<br>
> I am not sure if this is the right forum to discuss the aspects <br>
> of the CVE. Feel free to close this and point me to the right <br>
> forum.<br>
><br>
> I am looking for some more specific details on the attack <br>
> description. I am mainly looking for some of the details and <br>
> clarifications.<br>
><br>
> 1. For timing attacks the popular counter measure is to apply <br>
> blinding which makes it timing resistant. Does this <br>
> countermeasure fail in this case?<br>
<br>
While blinding protects against a leaky mod-exp implementation, unblinding<br>
still has to be done in constant time manner. That wasn't done.<br>
See some of the discussions in <br>
<a href="https://github.com/openssl/openssl/pull/20281" rel="noreferrer" target="_blank">https://github.com/openssl/openssl/pull/20281</a><br>
<br>
> 2. What is the order of the trials that an attacker requires to <br>
> mount this attack ?<br>
><br>
> Please share any reference paper giving more details of this attack.<br>
<br>
We're still working on a paper.<br>
<br>
-- <br>
Regards,<br>
Hubert Kario<br>
Principal Quality Engineer, RHEL Crypto team<br>
Web: <a href="http://www.cz.redhat.com" rel="noreferrer" target="_blank">www.cz.redhat.com</a><br>
Red Hat Czech s.r.o., Purkyňova 99/71, 612 45, Brno, Czech Republic<br>
<br>
</blockquote></div>