Mitigate a flush+reload cache attack on RSA secret exponents.
authorWerner Koch <wk@gnupg.org>
Thu, 25 Jul 2013 09:17:52 +0000 (11:17 +0200)
committerWerner Koch <wk@gnupg.org>
Thu, 25 Jul 2013 09:41:38 +0000 (11:41 +0200)
commit287bf0e543f244d784cf8b58340bf0ab3c6aba97
treec25bd83176f751850f5eff603e1ca2f42232eb88
parent37d0a1ebdc2dc74df4fb6bf0621045018122a68f
Mitigate a flush+reload cache attack on RSA secret exponents.

* mpi/mpi-pow.c (gcry_mpi_powm): Always perfrom the mpi_mul for
exponents in secure memory.
--

The attack is published as http://eprint.iacr.org/2013/448 :

Flush+Reload: a High Resolution, Low Noise, L3 Cache Side-Channel
Attack by Yuval Yarom and Katrina Falkner. 18 July 2013.

  Flush+Reload is a cache side-channel attack that monitors access to
  data in shared pages. In this paper we demonstrate how to use the
  attack to extract private encryption keys from GnuPG.  The high
  resolution and low noise of the Flush+Reload attack enables a spy
  program to recover over 98% of the bits of the private key in a
  single decryption or signing round. Unlike previous attacks, the
  attack targets the last level L3 cache. Consequently, the spy
  program and the victim do not need to share the execution core of
  the CPU. The attack is not limited to a traditional OS and can be
  used in a virtualised environment, where it can attack programs
  executing in a different VM.

(cherry picked from commit 55237c8f6920c6629debd23db65e90b42a3767de)
mpi/mpi-pow.c