没关系WPA2戏剧......详情出现TPM钥匙锁定,击中了吨的设备

大约三分之一的加密模块全球生成弱,可易溶的RSA对


智能卡,安全令牌,笔记本电脑和英飞凌技术生产的加密芯片生产的RSA键是弱和潮热的 - 并且应该用更强的算法再生。

简而言之,英飞凌TPMS - AKA可信平台模块 - 用于无数的计算机和小工具,用于生成用于保护VPN的RSA密钥对,实现可信引导序列,执行整个磁盘加密,授予对云帐户的访问,产生加密证书,以及更多。这些系统的核心的秘密可以通过确定的对手来数学裂解,允许它们能够控制由TPM构建的RSA键固定的计算机和解码数据。

我们已经 之前 覆盖 这些页面上的固件错误。现在,虽然每个人都分心了 wpa2 krack缺陷此外,还出现了Infineon Secupup的更多细节,您应该检查一下,以确保您不受影响或采取行动。例如,错误原因 一些 yubikey 4个小工具 生成弱认证密钥,应该尽快更换。

基本上,你应该 升级TPM的固件,通过设备的制造商或操作系统的制造商的更新,尽快使用硬件上的新代码或使用更强大的实现来刷新弱键。

Crypto专家ThomasPtáček这是为了说:

TPM. 漏洞 可以通过在TPM生成的RSA私钥对中的公钥中的公钥来计算私钥来计算。足以说,这不应该是可能的,私人组成部分应该保持秘密。

该错误位于芯片组的固件代码中,生成密钥对,并由捷克共和国布尔诺的Masaryk University的研究人员组织发现;英国安全公司Enigma Bridge;和CA'Foscari威尼斯大学意大利。英飞凌安全芯片从2012年开始制造,包括最新版本,都是脆弱的。

我们被告知您将在云计算能力中为30,000美元的某个地方需要裂解由狡猾的英飞凌硬件生成的2,048位RSA密钥对。对于1,024位键,通常是废话的,这是为了构建易受攻击的私钥进行微不足道。

“攻击是实用的,尽管对大规模攻击不太可能是具有成本效益的,”Enigma Bridge的Dan Cvrcek告诉 El Reg. 在星期一。 “目前的指示性处理器时间为1,024和2,048位键是97个VCPU天(40至80美元)和51,400个VCPU天(20,000美元到40,000美元)。

“目前最糟糕的是,似乎是......全磁盘加密,以及保护对某些云平台的访问,但它扩展到非拒绝签名,电子邮件签名,访问VPN和建筑物,E-健康卡和电子界限。“

CVRCEK估计,英飞凌的TPMS是“全球25%至30%的TPM。”缺陷的英飞凌芯片组已集成到主板上,包括Chromebook,身份验证系统,可信引导机制以及全球计算机和设备制造商销售的加密代币。

主要供应商包括 生命值 , 联想 富士通 已发布软件更新和缓解指南。

来自TPM Bug影响的东西的想法......来自Bug的研究人员

该漏洞已被称为Roca,Aka Return of Coppersmith的攻击AKA CVE-2017-15361,并被认为是最近的安全性 爱沙尼亚身份证问题。代码缺陷已记录在内 谷歌 微软 last week.

完整的细节 研究,包括因子化方法,将在ACM的计算机和通信安全(CCS)会议上释放。一篇论文,“Coppersmith攻击的回报:广泛使用的RSA Moduli的实际分解,”将于11月2日在德克萨斯州达拉斯的达拉斯揭幕。

在谈话之前,研究人员已经在线和在线生产 检测工具 这将允许人们弄清楚他们的密钥是否受到问题的影响。 ®


咬住它的手©1998-2021