Zero
File Di Foto
Imperfetto chipset utilizzato dal Pc per generare chiavi di crittografia RSA hanno una vulnerabilità che ha indebolito la sicurezza delle password memorizzate, dischi cifrati, documenti e molto di più.
Questa settimana, i ricercatori del Centro per la Ricerca sulla Crittografia e Sicurezza all’Università di Masaryk, Repubblica ceca; Enigma Ponte Ltd, Cambridge, UK; Università Ca’ Foscari di Venezia, Italia, ha rivelato il difetto di crittografia smart card, token di sicurezza, chipset e sicura hardware prodotto da tedesco nei semiconduttori Infineon Technologies.
La ROCA vulnerabilità CVE-2017-15361, riguarda il Trusted Platform Module (TPM) utilizzato per applicare una firma crittografica e proteggere i sistemi informatici e servizi. Il bug è stato scoperto nell’ambito dell’implementazione della coppia di chiavi RSA generazione in una libreria di crittografia utilizzato da Infineon TPM prodotti, consentendo di quello che viene chiamato un “pratico fattorizzazione di attacco.”
Questo tipo di attacco permette una minaccia attore di utilizzare un obiettivo chiave pubblica per generare una chiave privata con un po ‘ di tempo e di energia. L’attacco è possibile per il comune lunghezze di chiave, tra 1024 e 2048 bit.
Qualsiasi chiavi RSA generato dalla ditta difettosi prodotti non sono veramente randomizzato, lasciando loro debole e quindi crackable, e come la piena di bachi di linea di prodotto — tra cui il NIST FIPS 140-2 e CC EAL 5+ dispositivi certificati — estende indietro come già per il 2012, questi prodotti sono ormai all’ordine del giorno — mettendo innumerevoli apparentemente sicura di file e chiavi a rischio.
“Solo la conoscenza di una chiave pubblica è necessario e non si ha accesso fisico alle persone vulnerabili dispositivo,” dicono i ricercatori. “La vulnerabilità non dipende da una debole o difettoso generatore di numeri casuali-tutte le chiavi RSA generato da un vulnerabili chip, sono coinvolti.”
L’attacco è stato verificato utilizzando selezionati in modo casuale RSA a 1024 bit e chiavi per alcuni selezionati 2048-bit chiavi.
La squadra ha fornito stime approssimative su quanto a lungo e quanto costerebbe attaccanti siano in grado di decifrare la chiave privata, sulla base della loro conoscenza di una chiave pubblica basato su un processore Intel E5-2650 v3@3GHz Q2/2014, come di seguito:
512 bit chiavi RSA – 2 CPU ore (il costo di 0,06 dollari)1024 bit RSA keys – 97 CPU giorni (il costo di $40-$80)2048 bit RSA keys – 140.8 CPU anni, (il costo di $20.000 – $40,000)
4096 bit chiavi RSA non sono pratico di crack oggi, ma i ricercatori dicono che potrebbe essere possibile, che “dovrebbe attacco di miglioramento.”
Infineon, chip di crittografia e TPMs sono integrati anche l’autenticazione, la crittografia e la firma di token di altri fornitori e patatine.
Con una vasta gamma di applicazioni, a meno che non patchato o lavorato intorno, il bug potrebbe mandare in frantumi la protezione di tutto, dal disco di crittografia per la sicurezza degli account, la navigazione protetta, software di firma e token di autenticazione.
“L’impatto effettivo della vulnerabilità varia a seconda dello scenario di utilizzo, la disponibilità delle chiavi pubbliche e le lunghezze delle chiavi utilizzate,” la squadra ha detto. “Abbiamo trovato e analizzato vulnerabili chiavi in vari settori tra cui elettronica cittadino documenti, i token di autenticazione, di fiducia delle periferiche di avvio, pacchetto software di firma, TLS/HTTPS e chiavi PGP. Attualmente confermato che il numero di soggetti vulnerabili come i tasti di circa 760,000, ma forse fino a due o tre grandezze sono più vulnerabili”.
I Chromebook di Google, HP, Lenovo e Fujitsu Pc e portatili, a fianco di router e altri dispositivi sono tutti interessati.
È importante notare che RSA algoritmi non sono in errore qui, ma piuttosto buggy prodotti, il che significa che l’implementazione dell’algoritmo di sicurezza non avviene correttamente e non sono davvero casuali.
I ricercatori hanno fornito offline e online, strumenti di rilevamento per gli utenti di controllare per vedere se o non sono interessate.
I venditori non sono state sinistra flat-footed. Si può già avere a che fare con le conseguenze del KRACKA Wi-Fi WPA2 attacco, ma giganti della tecnologia, tra cui Microsoft, Google, HP, Lenovo e Fujitsu hanno già inviato gli avvisi di sicurezza, patch, aggiornamenti e linee guida per attenuare il problema.
I ricercatori hanno scoperto il bug nel mese di gennaio, ma ora che Infineon e colpite i fornitori hanno dato la parte migliore di un anno per sviluppare correzioni, essi hanno intenzione di rivelare tutta la scala di vulnerabilità in due settimane, a ACM Computer e le Comunicazioni di Sicurezza (CCS) conferenza.
Precedente e relativa copertura
Qui ogni patch per KRACK Wi-Fi vulnerabilità disponibile subito SEC contraffatti, malware ospitato su NOI gov’t server DNS nuovo attacco di 500 milioni di Pc vengono utilizzati per stealth cryptocurrency di data mining online
0