Уязвимость ROCA

Уязвимость ROCA
Идентификатор(ы) CVE	CVE - 2017-15361
Дата обнаружения	февраль 2017 г .; 7 лет назад
Первооткрыватель	Матуш Немец, Марек Сыс и др. ( Масариков университет )
Затронутое оборудование	TPM , Yubikey , Gemalto IDPrime .NET Смарт-карты
Затронутое программное обеспечение	Любое шифрование с открытым и закрытым ключом, использующее RSALib, включая BitLocker и PGP.

Уязвимость ROCA — это криптографическая уязвимость, которая позволяет закрытый ключ пары ключей, который необходимо восстановить из открытого ключа в ключах, сгенерированных устройствами с уязвимостью. «ROCA» — это аббревиатура от «Возвращение атаки Копперсмита ». ^[1] Уязвимости присвоен идентификатор CVE . 2017-15361 .

Уязвимость возникает из-за проблемы с подходом к RSA генерации ключей , используемым в уязвимых версиях программной библиотеки , RSALib предоставляемой Infineon Technologies и встроенной во многие смарт-карты , Trusted Platform Module (TPM) и Hardware Security Modules (HSM). реализации, включая токены YubiKey 4, часто используемые для генерации PGP ключей . Ключи длиной 512, 1024 и 2048 бит, созданные с использованием этих версий библиотеки Infineon, уязвимы для практической атаки ROCA. ^[2]^[3] Исследовательская группа, обнаружившая атаку (все из Масариковского университета , возглавляемые Матушем Немецем и Мареком Сысом) ^[2] По оценкам, это затронуло около четверти всех нынешних устройств TPM во всем мире. ^[4] Считается, что миллионы смарт-карт затронуты. ^[1]

Команда проинформировала Infineon о проблеме RSALib в феврале 2017 года, но сдержала публичное уведомление до середины октября, сославшись на ответственное раскрытие информации . Тогда они объявили об атаке и предоставили инструмент для проверки открытых ключей на уязвимость. Подробности нападения они опубликовали в ноябре. ^[2]

Технические детали

Генерация ключа RSA включает выбор двух больших случайно сгенерированных простых чисел — процесс, который может занять много времени, особенно на небольших устройствах, таких как смарт-карты. Помимо того, что числа являются простыми, они должны обладать некоторыми другими свойствами для обеспечения большей безопасности. Уязвимый процесс выбора RSALib быстро создает простые числа нужного типа, проверяя только числа простоты вида:

k*M+(65537^{a}\mod {M})

где $M$ является произведением первых n последовательных простых чисел (2, 3, 5, 7, 11, 13,...), а n — константа, которая зависит только от желаемого размера ключа. Безопасность основана на секретных константах $k$ и $a$ . Атака ROCA использует именно этот формат для простых чисел, используя вариант метода Копперсмита . Кроме того, открытые ключи, сгенерированные таким образом, имеют отличительный отпечаток, который можно быстро распознать, попытавшись вычислить дискретный логарифм модификатора открытого ключа. $M$ по базе 65537 . Вычисление дискретных логарифмов в большой группе обычно чрезвычайно сложно, но в данном случае это можно эффективно сделать с помощью алгоритма Полига–Хеллмана, поскольку $M$ это гладкое число . В Интернете доступен тестовый сайт. ^[2]^[5]^[6]^[7] Короче говоря, ключи, соответствующие этому формату, имеют значительно низкую энтропию и могут быть атакованы относительно эффективно (от недель до месяцев), а формат может быть подтвержден злоумышленником («отпечатками пальцев») очень быстро (за микросекунды). В открытом доступе имеется несколько реализаций атаки. ^[8]^[9]^[10]

смягчение последствий

открытые ключи длиной 512, 1024 и 2048 бит, сгенерированные RSALib Авторы ROCA считают уязвимыми . Поскольку детали генерации ключей различаются для ключей разной длины, более короткие ключи не обязательно более уязвимы, чем более длинные. Например, 1952-битный ключ RSAlib надежнее 2048-битного ключа, а 4096-битный ключ слабее 3072-битного ключа.

По мнению авторов, лучшим средством смягчения является генерация ключей RSA с использованием более надежного метода, например, с помощью OpenSSL . Если это невозможно, авторы ROCA предлагают использовать длины ключей, которые менее восприимчивы к ROCA, например, 3936 бит, 3072 бита или, если существует максимальный размер ключа в 2048 бит, 1952 бита. ^[2]^{: Раздел 5.1}

Компания Infineon выпустила обновления прошивки для своих доверенных платформенных модулей для производителей, которые использовали ее TPM. ^[11]

Подразумеваемое

Уязвимость выявила несколько недостатков схемы сертификации Common Criteria, поскольку уязвимость присутствовала в списке продуктов смарт-карт, сертифицированных по Common Criteria. А именно, одобрение отечественных криптографических алгоритмов; отсутствие прозрачности отчетов о сертификации, невозможность отозвать сертификаты Common Criteria для известных уязвимых продуктов и распространить эту информацию среди пользователей сертифицированных продуктов. ^[12]^{: Раздел 6.7.5}

В Эстонии обнаружение уязвимости привело к киберкризису на государственном уровне, поскольку уязвимый чип смарт-карты был установлен на более чем 750 000 эстонских удостоверениях личности , которые ежедневно используются резидентами и электронными резидентами Эстонии для безопасной аутентификации в Интернете и создания цифровых подписей. . ^[12]^{: Раздел 6.7}

См. также

Ссылки

^ Jump up to: Перейти обратно: ^а ^б Гудин, Дэн (23 октября 2017 г.). «Ужасающая слабость криптовалют открывает возможности для клонирования миллионов смарт-карт» . Арс Техника . Проверено 25 октября 2017 г.
^ Jump up to: Перейти обратно: ^а ^б ^с ^д ^и Немек, Матус; Сис, Марек; Свенда, Петр; Клинец, Душан; Матяс, Вашек (ноябрь 2017 г.). «Возвращение атаки Копперсмита: практическая факторизация широко используемых модулей RSA» (PDF) . Материалы конференции ACM SIGSAC 2017 года по компьютерной и коммуникационной безопасности . ККС '17. дои : 10.1145/3133956.3133969 .
^ Хандельвал, Свати. «Серьезная криптографическая ошибка позволяет хакерам восстанавливать частные ключи RSA, используемые в миллиардах устройств» . Хакерские новости . Проверено 25 октября 2017 г.
^ Лейден, Джон (16 октября 2017 г.). «Не говоря уже о драме с WPA2… Появляются подробности о сбое ключа TPM, который затронул множество устройств» . Соединенное Королевство: Регистр . Проверено 25 октября 2017 г.
^ «ROCA: Руководство по уязвимостям Infineon TPM и Secure Element RSA» . www.ncsc.gov.uk. Великобритания . Проверено 25 октября 2017 г.
^ «ROCA: уязвимое поколение RSA (CVE-2017-15361)» . Чехия: Центр исследований криптографии и безопасности, факультет информатики, Масариков университет . Проверено 25 октября 2017 г.
^ «Информация об обновлении программного обеспечения функции генерации ключей RSA» . Инфинеон Технологии АГ . Проверено 25 октября 2017 г.
^ Бруно Продуит (15 мая 2019 г.). «Реализация атаки ROCA (CVE-2017-15361)» . Гитхаб . Проверено 29 июня 2020 г.
^ Флориан Пикка (03 мая 2020 г.). «РОКА» . Гитхаб . Проверено 29 июня 2020 г.
^ Сихо Мидорикава (13 апреля 2020 г.). «РОКА» . Гитхаб . Проверено 29 июня 2020 г.
^ « Обновление TPM — Infineon Technologies» « . Проверено 19 марта 2021 г.
^ Jump up to: Перейти обратно: ^а ^б Парсовс, Арнис (март 2021 г.). Эстонское электронное удостоверение личности и проблемы его безопасности (доктор философии). Тартуский университет.

Внешние ссылки

[Goodin2017-1] Jump up to: Перейти обратно: ^а ^б Гудин, Дэн (23 октября 2017 г.). «Ужасающая слабость криптовалют открывает возможности для клонирования миллионов смарт-карт» . Арс Техника . Проверено 25 октября 2017 г.

[nemecsys-2] Jump up to: Перейти обратно: ^а ^б ^с ^д ^и Немек, Матус; Сис, Марек; Свенда, Петр; Клинец, Душан; Матяс, Вашек (ноябрь 2017 г.). «Возвращение атаки Копперсмита: практическая факторизация широко используемых модулей RSA» (PDF) . Материалы конференции ACM SIGSAC 2017 года по компьютерной и коммуникационной безопасности . ККС '17. дои : 10.1145/3133956.3133969 .

[thehackernews-3] Хандельвал, Свати. «Серьезная криптографическая ошибка позволяет хакерам восстанавливать частные ключи RSA, используемые в миллиардах устройств» . Хакерские новости . Проверено 25 октября 2017 г.

[4] Лейден, Джон (16 октября 2017 г.). «Не говоря уже о драме с WPA2… Появляются подробности о сбое ключа TPM, который затронул множество устройств» . Соединенное Королевство: Регистр . Проверено 25 октября 2017 г.

[5] «ROCA: Руководство по уязвимостям Infineon TPM и Secure Element RSA» . www.ncsc.gov.uk. Великобритания . Проверено 25 октября 2017 г.

[6] «ROCA: уязвимое поколение RSA (CVE-2017-15361)» . Чехия: Центр исследований криптографии и безопасности, факультет информатики, Масариков университет . Проверено 25 октября 2017 г.

[7] «Информация об обновлении программного обеспечения функции генерации ключей RSA» . Инфинеон Технологии АГ . Проверено 25 октября 2017 г.

[8] Бруно Продуит (15 мая 2019 г.). «Реализация атаки ROCA (CVE-2017-15361)» . Гитхаб . Проверено 29 июня 2020 г.

[9] Флориан Пикка (03 мая 2020 г.). «РОКА» . Гитхаб . Проверено 29 июня 2020 г.

[10] Сихо Мидорикава (13 апреля 2020 г.). «РОКА» . Гитхаб . Проверено 29 июня 2020 г.

[11] « Обновление TPM — Infineon Technologies» « . Проверено 19 марта 2021 г.

[parsovs_phd-12] Jump up to: Перейти обратно: ^а ^б Парсовс, Арнис (март 2021 г.). Эстонское электронное удостоверение личности и проблемы его безопасности (доктор философии). Тартуский университет.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]