PuTTY 中修复的关键加密错误

许多版本的 PuTTY 客户端都存在一个微妙的漏洞，攻击者可以利用该漏洞泄露某些私钥，然后伪造签名并登录到使用这些密钥的任何远程服务器。

该错误影响 PuTTY 的 0.68-0.80 版本，PuTTY 是一种用于 SSH、Telnet 和其他远程通信协议的流行客户端，并且源自以下事实：当使用特定的 NIST 椭圆曲线时，客户端会产生有偏差的 ECDSA 随机数。 该弱点仅适用于使用 NIST P521 曲线时生成的 521 位 ECDSA 密钥。 为了利用此漏洞，攻击者需要查看私钥的几十个签名，但这是一种合理的情况。 德国鲁尔大学的研究人员发现了该缺陷，并于周一公布了详细信息。 该错误已在 PuTTY 0.81 中修复。

“幸运的是，客户端签名是在 SSH 的安全通道内传输的，需要恶意服务器获取此类签名。 如果密钥已用于签署任意数据（例如，git 通过将 Pageant 转发到开发主机来提交），则也可以使用公开可用的签名（例如，在 GitHub 上）。”

PuTTY 已经存在了 20 多年，虽然它最初是为 Windows 开发的，但它是开源的，并且已被移植到一些其他操作系统。 客户端可用于服务器上的远程会话、文件传输和其他功能。 鲁尔大学研究人员表示，用户应丢弃受影响版本的 PuTTY 上由 NIST P521 曲线生成的任何客户端密钥。

“与 PuTTY 一​​起使用的所有 NIST P-521 客户端密钥都必须被视为受到损害，因为即使在源代码中修复了根本原因之后也可以进行攻击（假设对手可以获得约 60 个预补丁签名） ），”该咨询称。