Amerikanischen Forschern ist es gelungen bei ECDSA den geheimen SSL-Serverkey per Timing-Angriff zu bestimmen. Ein Timing-Angriff ist eine sogenannte Seiten-Kanal-Attacke auf einen Schlüssel. Seiten-Attacke deswegen, weil der Hacker nicht die Verschlüsselung selbst angreift, sondern die Rechenzeiten von dessen Algorithmen analysiert und so Rückschlüsse auf den eigentlichen Schlüssel nehmen kann. Bei dem hier geschilderten Angriff war ein Webserver mit der Erstellung eines SSL-Zertifikates das Opfer der Forscher. Über die Rechenzeit konnten sie das Zertifikat ermitteln. Die Schwachstelle ist die Verwendung des Verfahrens der elliptischen Kurven. Eine Lösung für das Problem gibt es nicht. Die Sicherheitsbehörde US-Cert empfiehlt zeitunabhängige Funktionen für Operationen auf elliptischen Kurven zu verwenden.