CVE-2025-29780

Nome do Software Vulnerável e Versões Afetadas: Post-Quantum Secure Feldman's Verifiable Secret Sharing versões 0.7.6b0 e anteriores

Descrição: O problema envolve vulnerabilidades de canal lateral de temporização na biblioteca feldman vss, especificamente dentro da função find secure pivot e potencialmente em outras partes de secure matrix solve. Essas vulnerabilidades devem-se ao modelo de execução do Python, que não garante execução em tempo constante. Um atacante com a capacidade de medir o tempo de execução dessas funções poderia potencialmente recuperar informações secretas utilizadas no esquema de Compartilhamento de Segredo Verificável (VSS). A instrução condicional if matrix[row][col] != 0 and row random < min value: possui tempo de execução que depende do valor de matrix[row][col], o que pode ser explorado por um atacante. A exploração bem-sucedida desses canais laterais de temporização poderia permitir que um atacante recuperasse chaves secretas ou outras informações sensíveis protegidas pelo esquema VSS, levando a um comprometimento completo do segredo compartilhado.

Recomendações: Para as versões 0.7.6b0 e anteriores, considere usar a biblioteca apenas em ambientes onde medições de temporização por atacantes são inviáveis. Implemente seus próprios wrappers em torno de operações críticas usando bibliotecas de tempo constante em linguagens como Rust, Go ou C como uma solução de médio prazo. Aguarde a implementação em Rust planejada, mencionada na documentação da biblioteca, que abordará adequadamente essas questões como uma solução de longo prazo. Como uma solução alternativa temporária, considere restringir o acesso às funções find secure pivot e secure matrix solve para minimizar o risco de exploração. Evite usar a função constant time compare na biblioteca afetada até que uma correção esteja disponível.