Уязвимость РОКА

Криптографическая ценность

Уязвимость ROCA представляет собой криптографическую слабость, которая позволяет восстановить закрытый ключ пары ключей из открытого ключа в ключах, сгенерированных устройствами с уязвимостью. «ROCA» — это аббревиатура от «Return of Coppersmith's attack ». ^[1] Уязвимости присвоен идентификатор CVE - 2017-15361.

Уязвимость возникает из-за проблемы с подходом к генерации ключей RSA , используемым в уязвимых версиях программной библиотеки RSALib , предоставляемой Infineon Technologies и встроенной во многие реализации смарт-карт , доверенных платформенных модулей (TPM) и аппаратных модулей безопасности (HSM), включая токены YubiKey 4, часто используемые для генерации ключей PGP . Ключи длиной 512, 1024 и 2048 бит, сгенерированные с использованием этих версий библиотеки Infineon, уязвимы для практической атаки ROCA. ^{[2] [3]} Исследовательская группа, обнаружившая атаку (все из Университета Масарика под руководством Матуша Немеца и Марека Шиша) ^[2], подсчитала, что она затронула около четверти всех текущих устройств TPM во всем мире. ^[4] Считается, что затронуты миллионы смарт-карт . ^[1]

Команда сообщила Infineon о проблеме RSALib в феврале 2017 года, но воздержалась от публичного уведомления до середины октября, ссылаясь на ответственное раскрытие информации . В то время они объявили об атаке и предоставили инструмент для проверки открытых ключей на уязвимость. Они опубликовали подробности атаки в ноябре. ^[2]

Технические подробности

Генерация ключа RSA включает выбор двух больших случайно сгенерированных простых чисел , процесс, который может быть трудоемким, особенно на небольших устройствах, таких как смарт-карты. Помимо того, что числа являются простыми, они должны иметь определенные другие свойства для лучшей безопасности. Уязвимый процесс выбора RSALib быстро создает простые числа нужного типа, проверяя только на простые числа вида:

${\displaystyle k*M+(65537^{a}\mod {M})}$

где — произведение первых n последовательных простых чисел (2, 3, 5, 7, 11, 13,...), а n — константа, зависящая только от желаемого размера ключа. Безопасность основана на секретных константах и ​​. Атака ROCA использует этот конкретный формат для простых чисел, используя вариацию метода Копперсмита . Кроме того, открытые ключи, сгенерированные таким образом, имеют отличительный отпечаток, который можно быстро распознать, попытавшись вычислить дискретный логарифм открытого ключа по модулю 65537 . Вычисление дискретных логарифмов в большой группе обычно чрезвычайно сложно, но в этом случае это можно сделать эффективно с помощью алгоритма Полига–Хеллмана, поскольку — гладкое число . Тестовый сайт доступен в Интернете. ^{[2] [5] [6] [7]} Короче говоря, ключи, соответствующие этому формату, имеют значительно низкую энтропию и могут быть атакованы относительно эффективно (недели или месяцы), а формат может быть подтвержден («снят») злоумышленником очень быстро (микросекунды). Несколько реализаций атаки доступны публично. ^{[8] [9] [10]} ${\displaystyle M}$ ${\displaystyle k}$ ${\displaystyle a}$ ${\displaystyle M}$ ${\displaystyle M}$

Смягчение

Авторы ROCA считают, что открытые ключи длиной 512, 1024 и 2048 бит, сгенерированные RSALib , уязвимы. Поскольку детали генерации ключей различаются для разных длин ключей, более короткие ключи не обязательно более уязвимы, чем длинные. Например, 1952-битный ключ RSAlib сильнее 2048-битного, а 4096-битный ключ слабее 3072-битного.

Лучшим смягчением, по мнению авторов, является генерация ключей RSA с использованием более сильного метода, например OpenSSL . Если это невозможно, авторы ROCA предлагают использовать длины ключей, которые менее восприимчивы к ROCA, например, 3936 бит, 3072 бита или, если максимальный размер ключа составляет 2048 бит, 1952 бита. ^{[2] : Раздел 5.1}

Компания Infineon выпустила обновления прошивки для своих модулей Trusted Platform Modules для производителей, которые использовали ее TPM. ^[11]

Подразумеваемое

Уязвимость выявила несколько недостатков схемы сертификации Common Criteria , поскольку уязвимость присутствовала в списке сертифицированных Common Criteria продуктов смарт-карт. А именно, одобрение доморощенных криптографических алгоритмов; отсутствие прозрачности в отчетах о сертификации, невозможность отзыва сертификатов Common Criteria для известных уязвимых продуктов и распространения этой информации среди пользователей сертифицированных продуктов. ^{[12] : Раздел 6.7.5}

В Эстонии обнаружение уязвимости привело к киберкризису государственного уровня, поскольку уязвимый чип смарт-карты был установлен на более чем 750 000 эстонских удостоверений личности , которые ежедневно используются резидентами Эстонии и электронными резидентами для безопасной аутентификации в Интернете и создания цифровых подписей. ^{[12] : Раздел 6.7}

Смотрите также

• BitLocker § Проблемы безопасности
• Infineon Technologies § Уязвимость безопасности
• Модуль доверенной платформы

Ссылки

1. Goodin, Dan (2017-10-23). ​​«Уязвимость криптографии делает миллионы смарт-карт доступными для клонирования». Ars Technica . Получено 2017-10-25 .
2. Nemec, Matus; Sys, Marek; Svenda, Petr; Klinec, Dusan; Matyas, Vashek (ноябрь 2017 г.). "Возвращение атаки Копперсмита: практическая факторизация широко используемых модулей RSA" (PDF) . Труды конференции ACM SIGSAC 2017 года по компьютерной и коммуникационной безопасности . CCS '17. doi :10.1145/3133956.3133969.
3. Ханделвал, Свати. «Серьезная криптоуязвимость позволяет хакерам восстанавливать закрытые ключи RSA, используемые в миллиардах устройств». The Hacker News . Получено 25.10.2017 .
4. Лейден, Джон (16 октября 2017 г.). «Не обращайте внимания на драму WPA2... Появились подробности о сбое ключа TPM, поразившего множество устройств». Соединенное Королевство: The Register . Получено 25 октября 2017 г.
5. "ROCA: Руководство по уязвимостям Infineon TPM и Secure Element RSA". www.ncsc.gov.uk . Соединенное Королевство . Получено 25.10.2017 .
6. "ROCA: Уязвимая генерация RSA (CVE-2017-15361)". Чешская Республика: Центр исследований криптографии и безопасности, Факультет информатики, Университет Масарика . Получено 25 октября 2017 г.
7. "Информация об обновлении программного обеспечения функции генерации ключей RSA". Infineon Technologies AG . Получено 25.10.2017 .
8. Бруно Продуит (2019-05-15). "Реализация атаки ROCA (CVE-2017-15361)". GitHub . Получено 2020-06-29 .
9. Флориан Пикка (03.05.2020). «РОКА». Гитхаб . Проверено 29 июня 2020 г.
10. Сихо Мидорикава (13 апреля 2020 г.). «РОКА». Гитхаб . Проверено 29 июня 2020 г.
11. ""Обновление TPM - Infineon Technologies"" . Получено 19 марта 2021 г. .
12. Parsovs, Arnis (март 2021 г.). Эстонская электронная идентификационная карта и проблемы ее безопасности (PhD). Тартуский университет.

Внешние ссылки

• Инструмент обнаружения ROCA (исходный код обнаружения)
• Набор для тестирования уязвимостей ROCA (онлайн-инструмент для тестирования ключей, файлов, учетных записей GitHub, ключей GnuPG, а также включает в себя ответчик электронной почты S/MIME и PGP)
• TrustMonitor ROCA Vulnerability Test (онлайн-инструмент для тестирования нескольких сертификатов)
• Обнаружение доверенных платформенных модулей, уязвимых к CVE-2017-15361 (скрипты)