The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

16.10.2017 23:04  Уязвимость в библиотеке Infineon, упрощающая факторизацию закрытого RSA-ключа

В библиотеке Infineon, которой оснащаются смарткарты и TPM-модули на базе чипов компании Infineon Technologies AG, выявлена уязвимость, существенно снижающая стойкость к факторизации параметров генерации ключа по имеющемуся открытому ключу. Атака получила название "ROCA" и касается RSA-ключей, сгенерированных с использованием смарткарт и вшитых в некоторые материнские платы чипов-криптоакселераторов.

Уязвимость присутствует как минимум с 2012 года и затрагивает в том числе устройства, имеющие сертификаты безопасности NIST FIPS 140-2 и CC EAL 5+. Например, проблеме оказались подвержены 750 тысяч выпущенных в Эстонии идентификационных карт, снабжённых 2048-битными ключами RSA, а также ключи созданные с использованием TPM-модулей Infineon в устройствах Microsoft (BitLocker), Google (Chromebook), HP, Lenovo, Acer, ASUS, LG, Samsung, Toshiba и Fujitsu. Проблема также присутствует в брелоках YubiKey 4, выпущенных до 6 июня 2017 года. Практические методы атаки доступны для 512-, 1024- и 2048-разрядных ключей и позволяют воссоздать закрытый ключ только на основе данных открытого ключа (доступ к смарткарте или TPM-модулю не требуется).

Из-за некачественного формирования случайных простых чисел, лежащих в основе RSA-ключа, стойкость созданных при помощи библиотеки Infineon ключей кардинально снижается, например, для воссоздания 512-битного RSA-ключа по открытому ключу требуется всего 2 часа процессорного времени, 1024-битного - 97 дней работы CPU (стоимость подбора в Amazon AWS составляет $40-$80), 2048-битного - 140.8 лет CPU (стоимость подбора $20-40 тысяч). Ключи размером 3072 и 4096 бит требуют слишком много ресурсов и даже несмотря на существенное снижение стойкости остаются надёжными. Для проверки RSA-ключей введена в строй web-форма, которая позволяет определить наличие проблемы по открытому RSA-ключу. Детали атаки планируется раскрыть 2 ноября на конференции ACM CCS-2017.

  1. Главная ссылка к новости (https://arstechnica.com/inform...)
  2. OpenNews: В Libgcrypt/GnuPG выявлена уязвимость, позволяющая воссоздать RSA-ключи
  3. OpenNews: Доступен проект Phuctor, коллайдер RSA-ключей
  4. OpenNews: Метод определения RSA-ключей через анализ изменения разности потенциалов
  5. OpenNews: NIST и RSA отзывают ранее стандартизованный Dual EC DRBG из-за возможного бэкдора
  6. OpenNews: Обновление GnuPG с устранением уязвимости, позволяющей восстановить закрытые RSA-ключи
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: rsa
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Michael Shigorin (ok), 23:29, 16/10/2017 [ответить] [показать ветку] [···]    [к модератору]
  • –26 +/
    Гм, а эстонцы всё-таки ещё большие слоупоки, чем я думал -- кто же нынче RSA 2048-битный применяет?..
     
     
  • 2.3, Аноним (-), 23:45, 16/10/2017 [^] [ответить]    [к модератору]
  • +19 +/
    В универсальной электронной карте гражданина РФ тоже RSA-2048
    По данным на сайте http://www.uecard.ru/ выдано более 25 млн таких карт.

    А теперь внимание. Карта представляется как ATQA=0004 и SAK=88, а это Mifare Classic 1K от
    Infineon. В отличие от эстонцев эти карты никто обновлять не будет, так как у проекта электронных паспортов свернули финансирование.


     
     
  • 3.4, pangolin (?), 00:33, 17/10/2017 [^] [ответить]    [к модератору]
  • +/
    Справедливости ради, по спецификации минкомсвязи на УЭКах могли быть не только RSA, но и ГОСТ. Прошедшее время потому, что проект УЭК закрыт ( http://www.uecard.ru/press/news/ao-uek-soobshchaet-o-zakrytii-proekta-po-vypu ), карты никто обновлять не будет - их просто выкинут.
     
     
  • 4.11, Аноним (-), 07:33, 17/10/2017 [^] [ответить]     [к модератору]
  • +/
    грядёт изменение госта, кстати ... весь текст скрыт [показать]
     
     
  • 5.32, КО (?), 15:25, 18/10/2017 [^] [ответить]    [к модератору]  
  • +/
    Шшооо опять?..
     
     
  • 6.36, Аноним (-), 00:34, 20/10/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    > Шшооо опять?..

    Как будто в exUSSR был дефицит в желающих распилить. Это ж не эстонцы какие-то.

     
  • 1.2, Аноним (-), 23:37, 16/10/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    дотянулось проклятое АНБ.
     
     
  • 2.13, Аноним (-), 09:27, 17/10/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    очень похоже что да. Хороший так вот спрятанный бэкдор. подсунутый нужным людям
     
  • 2.30, Аноним (-), 01:11, 18/10/2017 [^] [ответить]     [к модератору]  
  • –2 +/
    До тебя дотянулось Спалили всю твою порнуху с конями Лучше бойся ФСБ - эти при... весь текст скрыт [показать]
     
  • 1.5, Аноним (-), 02:20, 17/10/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    https://sites.google.com/a/chromium.org/dev/chromium-os/tpm_firmware_update
     
  • 1.6, Анонимокински (?), 06:50, 17/10/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +10 +/
    А все потому что все сотрудники ленивые и не хотят работать. Говорю как сотрудник.
     
     
  • 2.35, Начальник (?), 15:34, 19/10/2017 [^] [ответить]    [к модератору]  
  • +/
    Олежа! поехали, тебя уже ждут:)
     
  • 1.7, Аноним (-), 06:54, 17/10/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Никогда не понимал, зачем использовать длину rsa меньше 4096, если она из коробки является опцией. Какое-то крохоборство.
     
     
  • 2.14, Брюс Шнайер (?), 09:42, 17/10/2017 [^] [ответить]    [к модератору]  
  • +/
    4096-битное RSA почти в десять раз медленнее.
     
     
  • 3.15, An (??), 10:06, 17/10/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    зато в 10 раз безопасней
     
     
  • 4.34, Гость (??), 00:38, 19/10/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    скорее в 10^10
     
  • 2.31, Аноним (-), 12:57, 18/10/2017 [^] [ответить]    [к модератору]  
  • +/
    https://www.gnu.org/server/standards/translations/ru/gnupg/gnupg-faq.ru.html#d
     
  • 1.8, Аноним (-), 07:12, 17/10/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    То есть, если ключ не генерился этим чипом, то всё в порядке? Ай на зонд!
     
  • 1.10, Аноним (-), 07:30, 17/10/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Как узнать, есть в системе этот чип?

    [code]
    sudo dmidecode | grep -i Infineon || echo "not vulnerable"
    [/code]

    релевантно?

     
     
  • 2.17, Аноним (-), 10:49, 17/10/2017 [^] [ответить]    [к модератору]  
  • +/
    dmesg | grep -i tpm

    А дальше смотрите кто производитель.

     
     
  • 3.20, Аноним (-), 13:45, 17/10/2017 [^] [ответить]    [к модератору]  
  • +/
    Ясно, спасибо

    [code]
    [    0.000000] ACPI: SSDT 000000009cdd7000 006A5 (v01 Intel_ TpmTable 00001000 INTL 20120711)
    [/code]

    штеуд значит

     
  • 2.23, Аноним (-), 15:04, 17/10/2017 [^] [ответить]    [к модератору]  
  • +/
    Запусти tpm_version
    Если в "TPM Vendor ID" стоит "IFX", значит чип от Infineon.
     
  • 1.12, Аноним (-), 09:26, 17/10/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    выглядит как хорошо заныканый бэкдор.
     
  • 1.16, Фуррь (ok), 10:15, 17/10/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Интересно, а по какому именно CPU приведены данные о скорости подбора? По сферическому в вакууме?
     
     
  • 2.18, ryoken (ok), 10:55, 17/10/2017 [^] [ответить]    [к модератору]  
  • +/
    > Интересно, а по какому именно CPU приведены данные о скорости подбора? По
    > сферическому в вакууме?

    Там в новости же накорябано - Amazon AWS, вот и ройте, на чём оно.

     
  • 2.22, Аноним84701 (ok), 14:15, 17/10/2017 [^] [ответить]    [к модератору]  
  • +/
    > Интересно, а по какому именно CPU приведены данные о скорости подбора? По сферическому в вакууме?

    Гхм, первая же ссылка в новости:
    > Description of the vulnerability

    ...
    > The time complexity and cost for the selected key lengths (Intel E5-2650 v3@3GHz Q2/2014):
    > 512 bit RSA keys - 2 CPU hours (the cost of $0.06);
    > 1024 bit RSA keys – 97 CPU days (the cost of $40-$80);
    > 2048 bit RSA keys – 140.8 CPU years, (the cost of $20,000 - $40,000).

     
  • 1.19, Аноним (-), 11:11, 17/10/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    в этой связи вспоминаются "слабые" блоки замен для DES который таки был стандартом в США..
     
  • 1.21, Ivan_83 (ok), 14:07, 17/10/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Бэкдор или нет - хз.
    Вопрос к математикам.
    Критерии надёжности для RSA ключей давно известны и по идее всякие openssl содержат в себе средства проверки на слабость, как минимум внутри.

    Могу напомнить что вроде в дебиане был хреновый ГСПЧ и он тоже генерировал весьма унылые ключи.

    Вопрос к TPM модулям не столько в слабых ключах (ключ то можно и отдельно сгенерировать и закинуть в тпм), сколько в том, а реально ли они такие неизвлекаемые как производители клянутся.

     
  • 1.24, Уборщица (?), 19:07, 17/10/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Всеми виной слишком быстые компьютеры!
     
     
  • 2.33, SysA (?), 16:38, 18/10/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    > Всеми виной слишком быстые компьютеры!

    Вот и сам Infineon то же говорит: http://www.eenewseurope.com/news/infineon-responds-encryption-chip-vulnerabil
    Типа во всем виноваты "new advanced mathematical methods", а чип и железо вообще не причем! :)

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor