stringtranslate.com

Уязвимость ROCA

Уязвимость ROCA — это криптографическая слабость, которая позволяет восстановить закрытый ключ пары ключей из открытого ключа в ключах, сгенерированных устройствами с этой уязвимостью. «ROCA» — это аббревиатура от «Возвращение атаки Копперсмита ». [1] Уязвимости присвоен идентификатор CVE — 2017-15361.

Уязвимость возникает из-за проблемы с подходом к генерации ключей RSA , используемым в уязвимых версиях программной библиотеки RSALib , предоставляемой Infineon Technologies и встроенной во многие смарт-карты , Trusted Platform Module (TPM) и Hardware Security Modules (HSM). реализации, включая токены YubiKey 4, часто используемые для генерации ключей PGP . Ключи длиной 512, 1024 и 2048 бит, созданные с использованием этих версий библиотеки Infineon, уязвимы для практической атаки ROCA. [2] [3] Исследовательская группа, обнаружившая атаку (все сотрудники Университета Масарика и возглавляемые Матушем Немецем и Мареком Сысом) [2] подсчитала, что она затронула около четверти всех существующих устройств TPM во всем мире. [4] Предполагается , что миллионы смарт-карт затронуты. [1]

Команда проинформировала Infineon о проблеме RSALib в феврале 2017 года, но сдержала публичное уведомление до середины октября, сославшись на ответственное раскрытие информации . Тогда они объявили об атаке и предоставили инструмент для проверки открытых ключей на уязвимость. Подробности нападения они опубликовали в ноябре. [2]

Технические детали

Генерация ключа RSA включает выбор двух больших случайно сгенерированных простых чисел . Этот процесс может занять много времени, особенно на небольших устройствах, таких как смарт-карты. Помимо того, что числа являются простыми, они должны обладать некоторыми другими свойствами для обеспечения большей безопасности. Уязвимый процесс выбора RSALib быстро создает простые числа нужного типа, проверяя только числа простоты вида:

где — произведение первых n последовательных простых чисел (2, 3, 5, 7, 11, 13,...), а n — константа, которая зависит только от желаемого размера ключа. Безопасность основана на секретных константах и ​​. Атака ROCA использует именно этот формат для простых чисел, используя вариант метода Копперсмита . Кроме того, сгенерированные таким образом открытые ключи имеют отличительный отпечаток пальца, который можно быстро распознать, попытавшись вычислить дискретный логарифм модификатора открытого ключа по основанию 65537 . Вычисление дискретных логарифмов в большой группе обычно чрезвычайно сложно, но в данном случае это можно эффективно сделать с помощью алгоритма Полига–Хеллмана, поскольку – гладкое число . В Интернете доступен тестовый сайт. [2] [5] [6] [7] Короче говоря, ключи, соответствующие этому формату, имеют значительно низкую энтропию и могут быть атакованы относительно эффективно (недели или месяцы), а формат может быть подтвержден («отпечатками пальцев») злоумышленником. очень быстро (микросекунды). В открытом доступе имеется несколько реализаций атаки. [8] [9] [10]

смягчение последствий

Авторы ROCA считают уязвимыми открытые ключи длиной 512, 1024 и 2048 бит, сгенерированные RSALib . Поскольку детали генерации ключей различаются для ключей разной длины, более короткие ключи не обязательно более уязвимы, чем более длинные. Например, 1952-битный ключ RSAlib надежнее 2048-битного ключа, а 4096-битный ключ слабее 3072-битного ключа.

По мнению авторов, лучшим средством смягчения последствий является генерация ключей RSA с использованием более надежного метода, например, с помощью OpenSSL . Если это невозможно, авторы ROCA предлагают использовать длины ключей, которые менее восприимчивы к ROCA, например, 3936 бит, 3072 бита или, если существует максимальный размер ключа в 2048 бит, 1952 бита. [2] : Раздел 5.1. 

Компания Infineon выпустила обновления встроенного ПО для своих доверенных платформенных модулей для производителей, которые использовали ее TPM. [11]

Подразумеваемое

Уязвимость выявила несколько недостатков схемы сертификации Common Criteria, поскольку уязвимость присутствовала в списке продуктов смарт-карт, сертифицированных по Common Criteria. А именно, одобрение отечественных криптографических алгоритмов; отсутствие прозрачности отчетов о сертификации, невозможность отозвать сертификаты Common Criteria для известных уязвимых продуктов и распространить эту информацию среди пользователей сертифицированных продуктов. [12] : Раздел 6.7.5. 

В Эстонии обнаружение уязвимости привело к киберкризису на государственном уровне, поскольку уязвимый чип смарт-карты был установлен на более чем 750 000 эстонских удостоверениях личности , которые ежедневно используются резидентами и электронными резидентами Эстонии для безопасной аутентификации в Интернете и создания цифровых подписей. . [12] : Раздел 6.7. 

Смотрите также

Рекомендации

  1. ^ Аб Гудин, Дэн (23 октября 2017 г.). «Поразительная слабость криптовалют открывает возможности для клонирования миллионов смарт-карт». Арс Техника . Проверено 25 октября 2017 г.
  2. ^ abcde Nemec, Матус; Сис, Марек; Свенда, Петр; Клинец, Душан; Матяс, Вашек (ноябрь 2017 г.). «Возвращение атаки Копперсмита: практическая факторизация широко используемых модулей RSA» (PDF) . Материалы конференции ACM SIGSAC 2017 по компьютерной и коммуникационной безопасности . ККС '17. дои : 10.1145/3133956.3133969.
  3. ^ Хандельвал, Свати. «Серьезная криптографическая ошибка позволяет хакерам восстанавливать частные ключи RSA, используемые в миллиардах устройств». Хакерские новости . Проверено 25 октября 2017 г.
  4. Лейден, Джон (16 октября 2017 г.). «Не говоря уже о драме WPA2… Появляются подробности о сбое ключа TPM, который поражает множество устройств». Соединенное Королевство: Регистр . Проверено 25 октября 2017 г.
  5. ^ «ROCA: Руководство по уязвимостям Infineon TPM и Secure Element RSA» . www.ncsc.gov.uk. ​Великобритания . Проверено 25 октября 2017 г.
  6. ^ «ROCA: уязвимое поколение RSA (CVE-2017-15361)» . Чехия: Центр исследований криптографии и безопасности, факультет информатики, Масариков университет . Проверено 25 октября 2017 г.
  7. ^ «Информация об обновлении программного обеспечения функции генерации ключей RSA» . Инфинеон Технологии АГ . Проверено 25 октября 2017 г.
  8. ^ Бруно Продуит (15 мая 2019 г.). «Реализация атаки ROCA (CVE-2017-15361)». Гитхаб . Проверено 29 июня 2020 г.
  9. ^ Флориан Пикка (03.05.2020). «РОКА». Гитхаб . Проверено 29 июня 2020 г.
  10. ^ Сихо Мидорикава (13 апреля 2020 г.). «РОКА». Гитхаб . Проверено 29 июня 2020 г.
  11. ^ «Обновление TPM — Infineon Technologies»» . Проверено 19 марта 2021 г.
  12. ^ аб Парсовс, Арнис (март 2021 г.). Эстонское электронное удостоверение личности и проблемы его безопасности (доктор философии). Тартуский университет.

Внешние ссылки