<div dir="ltr"><br><br><div class="gmail_quote"><div dir="ltr">On Sun, 6 Dec 2015 at 23:43 Hanno Böck <<a href="mailto:hanno@hboeck.de">hanno@hboeck.de</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Sun, 6 Dec 2015 18:07:09 -0500<br>
"Perry E. Metzger" <<a href="mailto:perry@piermont.com" target="_blank">perry@piermont.com</a>> wrote:<br>
<br>
> The latest OpenSSL security announcement alluded to a bug in carries<br>
> in the Montgomery multiplication code. This is a sufficiently<br>
> unusual security bug in cryptographic code that it piqued my<br>
> interest. Does anyone know details that they're willing to share with<br>
> the list, both about the bug itself and what the likely implications<br>
> are?<br>
<br>
I'm the one who discovered this bug. Here's a writeup:<br>
<a href="https://blog.fuzzing-project.org/31-Fuzzing-Math-miscalculations-in-OpenSSLs-BN_mod_exp-CVE-2015-3193.html" rel="noreferrer" target="_blank">https://blog.fuzzing-project.org/31-Fuzzing-Math-miscalculations-in-OpenSSLs-BN_mod_exp-CVE-2015-3193.html</a><br>
<br>
It is still an open question whether this is really exploitable. The DH<br>
case seems to be the most plausible exploit scenario.<br>
<br>
<br>
Also I have reason to believe this is not that unusual. We already had<br>
a bug in BN_sqr earlier this year. I think testing bignum libraries is<br>
something that needs to be done more thoroughly.<br></blockquote><div><br></div><div>Another data point: many years ago I found a bug in BN_div() - the manifestation of the bug was that a particular proven prime tested as non-prime. The underlying reason was that there's an edge case where a "digit" is all 1s which was not correctly handles. All 1 digits do not occur at all often in random numbers and in any case, discarding the occasional random prime isn't that much of a problem, but this proven prime was full of them.</div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
--<br>
Hanno Böck<br>
<a href="http://hboeck.de/" rel="noreferrer" target="_blank">http://hboeck.de/</a><br>
<br>
mail/jabber: <a href="mailto:hanno@hboeck.de" target="_blank">hanno@hboeck.de</a><br>
GPG: BBB51E42<br>
_______________________________________________<br>
The cryptography mailing list<br>
<a href="mailto:cryptography@metzdowd.com" target="_blank">cryptography@metzdowd.com</a><br>
<a href="http://www.metzdowd.com/mailman/listinfo/cryptography" rel="noreferrer" target="_blank">http://www.metzdowd.com/mailman/listinfo/cryptography</a></blockquote></div></div>