Cryptographic Issues in Cloudflare's Circl FourQ Implementation (CVE-2025-8556)
7 months ago
- #security
- #cryptography
- #elliptic-curve
- 2025年初发现Cloudflare的CIRCL密码学库中FourQ椭圆曲线实现存在加密漏洞
- 通过Cloudflare的HackerOne漏洞赏金计划提交问题,初期响应不足,但后期获官方确认并修复
- CIRCL是Cloudflare的密码学库,内含FourQ曲线及Curve4Q迪菲-赫尔曼共享密钥实现方案
- FourQ是微软研究院提出的128位安全椭圆曲线,基于扩展域上的扭曲爱德华曲线方程定义
- 无效曲线/点攻击利用验证不足的缺陷,通过强制计算无效点来提取密钥
- 爱德华曲线因参数化加法公式可抵抗常规无效点攻击,但特定情况(如x=0点)仍存在漏洞
- 共发现CIRCL库FourQ实现的7类问题,包括反序列化验证缺失、余因子清除缺陷和标量乘法漏洞
- 核心修复:反序列化的严格点验证、余因子清除检查、标量乘法的预计算曲线验证