CVE-2024-36405

Versões da liboqs anteriores à 0.10.1

Foi identificada uma falha de temporização no fluxo de controle na implementação de referência do mecanismo de encapsulamento de chaves Kyber no liboqs, uma biblioteca criptográfica em linguagem C que fornece implementações de algoritmos de criptografia pós-quântica. Essa falha pode ser explorada para vazar informações confidenciais. Um ataque local de prova de conceito pode vazar toda a chave secreta ML-KEM 512 em aproximadamente 10 minutos, utilizando medições de temporização de desencapsulamento de ponta a ponta.

Para versões anteriores à 0.10.1, atualize para a versão 0.10.1 para resolver o problema. Como solução alternativa temporária, considere usar opções de compilador que possam produzir código vetorizado, o qual não vaza informações confidenciais; no entanto, confiar nessas opções de compilador como solução alternativa pode não ser confiável.