英飞凌加密智能卡和安全令牌也不安全了
2018-06-11 来源:
CRoCS组织在由英飞凌技术股份公司(Infineon Technologies)制作的加密智能卡、安全令牌和其他安全硬件芯片中采用的软件库中,其所使用的 RSA 密钥生成中发现了一个新的漏洞, 利用该漏洞,攻击者可以进行实际的因数分解攻击,计算 RSA 密钥的私钥部分。对于常用的密钥长度 (包括1024和2048位), 该攻击是可行的, 并且会影响2012年之前生产的芯片, 这种芯片非常常见。
使用离线或在线检测工具可以评估您的密钥, 如果您受到影响, 请尽快与您的供应商联系。主要的供应商包括微软、谷歌、惠普、联想、富士通已经发布了软件更新和缓解的指南。包括分解方法在内的全部细节,将在两周后的 ACM CCS 会议上公布, 作为 "Coppersmith攻击的回归: 广泛使用的RSA 模量的实用分解" (ROCA) 研究论文。
Infineon公司是全球十大半导体制造商之一。1999年5月1日,西门子半导体公司正式更名为Infineon,总部设在德国慕尼黑。主要生产汽车和工业电子芯片、保密及IC卡应用IC、通讯多媒体芯片、存储器件等。1998年Infineon公司是全球十大半导体制造商之一。
英飞凌加密智能卡及安全令牌因数分解攻击漏洞影响76万密钥
在由英飞凌技术股份公司生产的一系列加密芯片中使用了一个加密库,该加密库中发现了 RSA 密生成的安全漏洞。该产品也用在其他供应商和芯片的身份验证、签名和加密令牌中, 用于操作系统的可信启动。该漏洞是存在于2012年之前的 NIST FIPS 140-2 和 CC EAL 5+ 认证的设备。
远程攻击者可以从公钥的值中计算 RSA 私钥。私钥可以被误用,以模拟合法所有者、解密敏感消息、伪造签名 (如软件发布) 和其他相关攻击。
该漏洞的实际影响取决于使用情况、公钥的可用性和使用的密钥长度。我们发现并分析了包括电子公民文档、身份验证令牌、可信启动设备、软件包签名、TLS/HTTPS 密钥和 PGP 在内的各个领域中的易受攻击的密钥。目前确认的易受攻击的密钥数量约为 76万, 但可能有两到三个以上的数字更容易受到攻击。细节将在两周内在 ACM CCS 会议上提出。
易受攻击的芯片是普遍的, 并不一定直接由英飞凌技术股份公司销售, 因为芯片可以内嵌在其他制造商的设备中。
英飞凌加密智能卡及安全令牌因数分解攻击漏洞
生成的 RSA 素数特定结构决定了算法漏洞的特性, 所以常见长度的分解攻击是可行的, 包括1024和2048位。攻击者需要具备公钥的知识, 不需要对易受攻击的设备进行物理访问。此漏洞不依赖于弱或错误的随机数生成器,所有影响的芯片生成的所有 RSA 密钥都会受到影响。我们随机选择的了几个1024位 RSA 密钥和几个选定的2048位密钥, 实际验证了该攻击能力。
实践证明,素数的特定结构允许快速检测易受攻击的密钥, 即使在非常大的数据集中也是如此。这个特性可以让用户快速评估自己的密钥是否存在问题, 但也适用于潜在的攻击者 (易受分解的密钥可以预先选定, 而不会进行耗时的分解尝试)。
通常来说,在一个常用 cpu 单个内核上, 分解1024位,只需要不到 3 cpu 月,而2048位也只需要 100 cpu 年, 而最坏的情况只需要一半的时间。因数分解攻击可以很容易地并行在多个 cpu 上。如果有 k cpu 可用, 攻击所需时间将减少 k 倍,这取决于实际分解的小时或天数。在比较坏的情况下,用亚马逊 AWS c4 计算实例的分解价格,1024位密钥只需要76美元, 2048 位密钥的约为4万美元。
密钥长度不同,分解攻击的难度不一样 (一些较长的密钥可能比其他较短的键花费更少的时间进行)。一下列出一些参考值。所选密钥长度的时间复杂性和成本 (以英特尔 E5-2650 v3@3GHz Q2/2014为例):
- 512位 RSA 密钥-2 CPU 小时 (成本为0.06 美元);
- 1024位 RSA 密钥– 97 CPU 天 (40 美元- 80美元);
- 2048位 RSA 密钥– 140.8 CPU 年 (成本 2万-4万美元)。
在CRoCS laboratory, Masaryk University, Enigma Bridge 以及Ca' Foscari University的研究人员,在对智能卡的生产和大量出口的 RSA 密钥的密切检查中发现了该漏洞。全部成果将于10月30日开始的,在关于计算机和通信安全的学术 acm 会议上提出 (acm CCS'17)。
在公开披露前的8月内, 英飞凌技术股份公司按照负责任的披露原则, 披露了该漏洞。我们与制造商和其他受影响方合作, 在这一期间帮助评估和减轻此漏洞。主要的供应商包括微软、谷歌、惠普、联想、富士通已经发布了软件更新和缓解的指南。我们现在通知一般公众,并为大家发布评估工具。
评估工具及缓解办法
第一步是检测是否使用了带有易受攻击的库的芯片。由于该漏洞存在于芯片上的软件库中, 而且不局限于特定的一批硬件, 唯一可靠的方法是在设备上生成 RSA 密钥对, 并通过我们提供的工具测试公钥 (见下文)。建议也测试正在使用的密钥。我们相信这些工具是非常准确的。
我们提供以下工具
-
离线测试 : Python/Java/c++ 应用程序和教程 。我们发布了 MIT 许可下的所有离线工具, 因此它可以嵌入到其他测试应用程序和服务中。
- https://github.com/crocs-muni/roca
-
在线测试 : 将公钥上载到如下网站以测试密钥
- https://keychest.net/roca
- https://keytester.cryptosense.com 。
-
电子邮件 s/mime/PGP 测试仪 : 发送签名电子邮件到如下邮箱,可以获得自动电子邮件响应, 并分析签名密钥漏洞。
- roca@keychest.net roca@keychest. net
如果找到了易受攻击的密钥, 则应与设备供应商联系以获取进一步的建议。
并给出一般性缓解建议
- 应用软件更新 (如果可用)。
- 将设备替换为一个没有易受攻击的库。
- 在设备外部生成安全的 RSA 密 (例如, 通过 OpenSSL 库) 并将其导入设备。我们不知道与实际使用密钥有关的任何漏洞, 只有生成阶段具有确认的漏洞。
- 在受影响的设备上使用其他加密算法 (例如, ECC) 而不是 RSA。
- 如果被使用的 RSA 密钥被检测为易受攻击, 则在您的环境中应用其他风险管理。
- 利用我们的分解方法, 使用目前没有受到影响的密钥长度 (例如, 3936 位)。请注意: 使用此特定的缓解措施只能作为最后的手段, 因为攻击可能会得到改善。
英飞凌加密智能卡及安全令牌因数分解攻击漏洞常见问题
问: 在公开此漏洞后, RSA 算法一般不安全吗?
答: 也不是这样。如果将 RSA 素数生成为真正的随机数, 则无法应用我们的方法。例如, OpenSSL 库生成的密钥不受影响。
问: 我怎样才能确定我的钥匙不受影响?
答: 运行上面提供的检测工具。我们认为, 该工具实际上没有误报 (如果一个键被标记为易受攻击, 它是易受攻击的), 并且没有错误的底片 (如果没有检测到一个密钥是易受伤害的, 那么它是安全的。
问: 如何减轻此漏洞?
答: 请联系您的供应商并寻求帮助, 如果可用, 请应用修补程序。
问: Microsoft、Google 和其他供应商最近 (10月10日) 就可信平台模块 (TPM) 提供了安全公告。这是否与本披露中宣布的漏洞有关?
答: 是的, 这是被发现的漏洞的直接结果, 因为受影响的设备正在使用易受攻击的库。
问: 在受影响的芯片上生成 ECC 密钥,是否易受攻击?
答: 不是这样的。我们在易受攻击的库的 ECC 密钥生成中没有发现漏洞。
问: Coppershmith攻击已经被用于进行密钥智能卡因数分析攻击。这是同一漏洞所致吗?
答: 不, 这个事情不一样。在 2013年, Heninger、Tanja 和为力 Someren 在台湾公民卡上发明了一种利用有缺陷的随机数发生器的方法, 目前由于制造缺陷, 在一些卡上存在问题(如下pdf文档) 。而此新漏洞适用于所有配备了易受攻击的库的芯片。
https://smartfacts.cr.yp.to/smartfacts-20130916.pdf
问: 该漏洞是如何发现的?
答: 我们分析了在 USENIX 安全2016会议上发表的以前的研究工作中, 从各种智能卡生成和提取的大量 RSA 密钥的统计特性 ( https://www.usenix.org/conference/usenixsecurity16/technical-sessions/presentation/svenda )。没有对芯片或库进行逆向工程。
问: U2F 认证令牌是否受影响?
答: No。U2F 规范只允许 ECC-based 身份验证。
转自:安全加
标签: Google https ssl 安全 电子邮件 谷歌 漏洞 媒体 通信 网站 问题 选择 用户
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。
