Cryptographic Issues in Cloudflare's Circl FourQ Implementation (CVE-2025-8556)

В начале 2025 года исследователи обнаружили криптографические уязвимости в реализации FourQ от Cloudflare в библиотеке CIRCL. Проблемы были сообщены через HackerOne в марте и напрямую в Cloudflare после слабого ответа команды. FourQ — эллиптическая кривая с 128-битной безопасностью от Microsoft Research, работающая над расширением простого поля и подходящая для систем с ограниченными ресурсами.

Уязвимость связана с атаками на недействительные точки, когда сервер выполняет вычисления без проверки валидности точек на кривой. В протоколе ECDH это позволяет атакующему использовать точки с гладким порядком подгруппы, значительно упрощая восстановление секретного ключа. Cloudflare признала проблемы и исправила их после уведомления.

Комментарии (70)

Пользователи обсуждают, что Cloudflare не смогли должным образом проверить и исправить уязвимость в библиотеке CIRCL, что вызывает вопросы о надёжности их кода и процессов.
Обсуждается, что баг-баунти программы не предоставляют достаточной мотивации для исследователей, особенно если речь идёт о сложных технических проблемах, что может отпугнуть исследователей от отчитывать о найденных проблемах.
Участники обсуждают, что компании должны быть более открыты к внешнему аудиту и тестированию, особенно для критически важных систем как криптографические библиотеки.
Участники также обсуждают, что вместо того чтобы полагаться на внутренние ресурсы, компании должны нанимать независимых экспертов для аудита и тестирования их систем, особенно если они не имеют внутрених экспертов по криптографии.
Участники также обсуждают, что вместо того чтобы полагаться на внутренние ресурсы, компании должны нанимать независимых экспертов для аудита и тестирования их систем, особенно если они не имеют внутрених экспертов по криптографии.