N/A

A flaw was found in openCryptoki. The openCryptoki Soft token does not check if an EC key is valid when an EC key is created via C_CreateObject, nor when C_DeriveKey is used with ECDH public data. This may allow a malicious user to extract the private key by performing an invalid curve attack.

N/A

信息暴露

openCryptoki 安全漏洞

openCryptoki是openCryptoki开源的一个适用于 Linux 的 PKCS#11 库和工具。 openCryptoki存在安全漏洞，该漏洞源于当通过 C_CreateObject 创建 EC 密钥时，或者当 C_DeriveKey 与 ECDH 公共数据一起使用时，openCryptoki 软令牌不检查 EC 密钥是否有效，攻击者利用该漏洞可以通过执行无效曲线攻击来提取私钥。

N/A

N/A