Bouncy Castle BC-FJA 漏洞 CVE-2026-8149 泄露 GCM 密钥

执行摘要

在 Bouncy Castle FIPS Java API（BC-FJA）中披露了一个旁路漏洞，编号为 CVE-2026-8149，影响了在支持 AVX-512f 指令集的 Linux x86_64 系统上的版本 2.1.0 至 2.1.2。这个漏洞存在于优化的 gcm128w 和 gcm512w 汇编程序中，通过计时和功耗旁路泄露了 AES-GCM 认证子密钥。具有本地访问权限或能够观察同一物理核心上的加密操作的攻击者可以恢复 GCM 认证密钥，从而伪造经过认证的密文，并在某些情况下恢复明文。国家漏洞数据库（NVD）条目 CVE-2026-8149 发布于 2026-05-09，尽管该漏洞最初源自 Bouncy Castle 的安全披露流程。截至本文撰写时，尚未官方分配 CVSS 评分，但由于漏洞的加密性质和泄露的密钥材料的敏感性，该漏洞应被归类为高严重性。

技术分析

Bouncy Castle 的 BC-FJA 是一个经过 FIPS 140-2 验证的加密模块，在需要认证加密的政府、金融和企业 Java 应用中广泛使用。这个漏洞特别针对在 Intel 和 AMD 处理器上使用 AVX-512f 指令加速的 Galois/Counter Mode（GCM）实现。

受影响的程序 gcm128w 和 gcm512w 是手工优化的汇编函数，它们使用 128 位和 512 位宽的向量操作并行执行 GCM 乘法。根据 NVD 的描述，旁路在计算 GCM 认证子密钥（H）时显现，该子密钥是从全零输入的块密码加密中派生出来的。能够观察到同一物理核心的执行计时、功耗或电磁辐射的攻击者可以通过多次加密操作统计恢复此子密钥。

一旦 GCM 认证子密钥 H 被恢复，攻击者可以：

• 伪造通过 GCM 完整性检查的认证密文。
• 利用已知明文或选择密文的场景恢复底层明文。
• 在使用受影响模块的 TLS 1.3、IPsec 或 SSH 等协议中绕过依赖于 GCM 的认证保证。

该漏洞仅限于 JVM 暴露 AVX-512f 特性标志，并且 BC-FJA 选择优化代码路径的 Linux x86_64 系统。受影响的版本是 BC-FJA 2.1.0、2.1.1 和 2.1.2。不包含 AVX-512f 优化程序的早期版本不受影响。使用标准（非 FIPS）Bouncy Castle 提供者的用户体验也不受影响，因为易受攻击的汇编是 FIPS 模块独有的。

Bouncy Castle 尚未发布公开咨询，详细说明确切的披露时间线，或者漏洞是内部发现还是由外部研究人员报告的。NVD 条目仅提供了上述简要描述，截至 2026 年 5 月 9 日，尚未发布概念验证代码或漏洞利用。

缓解措施与建议

在 FIPS 兼容部署中使用 BC-FJA 的组织应采取以下步骤：

1. 立即升级 —— Bouncy Castle 预计将发布包含修复程序的 BC-FJA 版本 2.1.3，该修复程序禁用或替换易受攻击的 AVX-512f 汇编程序，使用恒定时间替代方案。监控官方 Bouncy Castle 安全页面以获取更新。

2. 禁用 AVX-512f 加速 —— 作为临时解决方案，管理员可以通过传递 JVM 标志 -XX:UseAVX=0 或 -XX:UseAVX=1（仅限于 AVX/AVX2）来强制 JVM 禁用 AVX-512f 指令支持。这将导致 BC-FJA 回退到非优化的恒定时间 GCM 实现。请注意，这可能会降低批量加密操作的吞吐量。

3. 隔离加密工作负载 —— 对于高安全环境，考虑在专用硬件上或在隔离的虚拟机中运行加密操作，以减少本地旁路观察的可行性。

4. 监控密钥轮换 —— 如果受影响的模块已在共享基础设施上使用（例如，启用超线程的云实例），则假设 GCM 认证密钥可能已被泄露，并轮换由受影响版本生成或使用的所有密钥。

5. 审计 FIPS 认证状态 —— 由于 BC-FJA 是一个经过 FIPS 140-2 验证的模块，任何解决此漏洞的代码更改都可能需要重新验证。具有合规性要求的组织应跟踪修补版本的认证状态。