Infineons sårbare kryptobibliotek rammer svært mange systemer. Bak arbeidet står forskerne Matus Nemec, Marek Sys, Petr Svenda, Dusan Klinec og Vashek Matyas, alle tilknyttet Masaryk University. (Bilde: The Return of Coppersmith's Attack: Practical Factorization of Widely Used RSA Moduli)

ROCA

Millioner av kryptonøkler må byttes ut

Kritisk feil påvist i kodebibliotek brukt av Infineon-brikker.

Wifi-sårbarheten er ikke den eneste alvorlige sikkerhetstrusselen som ble kjent i dag.

Forskere har også påvist en kritisk sårbarhet i RSA-nøkkelpar generert av TPM-brikker eller mikrokontrollere (Trusted Platform Module) fra den tyske produsenten Infineon Technology.

En algoritmisk svakhet i Infineons eget kodebibliotek gjør det mulig å knekke en lang rekke private RSA-kryptonøkler, inkludert nøkkellengder på 1024 og 2048 bits.

Dette kodebiblioteket skal ha generert svake nøkler i hvert fall siden 2012. Millioner av private kryptonøkler er i fare og må erstattes, ifølge Ars Technica.

Berører mange

En lang rekke produsenter av bærbare pc-er, rutere, integrerte systemer og tingenes internett-enheter er berørt. Det inkluderer blant annet Acer, Asus, Fujitsu, HP, Lenovo, LG, Samsung, Toshiba, og enkelte mindre Chromebook-leverandører, skriver Bleeping Computer.

Nasjonale ID-smartkort, digital signering av dokumenter og programvare er noe av det som kan forfalskes.

– Ikke minst er svakheten urovekkende fordi den befinner seg i kode som følger to internasjonalt anerkjente serifiseringstandarder innen sikkerhet, som er bindende for mange lands myndigheter, leverandører og selskap verden over, skriver Ars Technica.

Det er en gruppe tsjekkiske og slovakiske sikkerhetsforskere som står bak oppdagelsen, som ble kunngjort i dag. Gruppen har døpt sårbarheten ROCA som er en forkortelse av tittelen på forskningsarbeidet deres som snart skal utgis: «The Return of Coppersmith's Attack: Practical Factorization of Widely Used RSA Moduli».

E-valg

Infineon ble informert tilbake i februar. Partene ble da enige om å vente åtte måneder med å offentliggjøre svakheten. Detaljene skal først legges fram under ACM CCS-konferansen i Dallas, USA om to uker.

I mellomtid har berørte leverandører av utstyr og programvare fått tid til å forberede seg. Microsoft, Google og Infineon sendte ut sikkerhetsvarsler i forrige uke.

Svakheten skal også berøre de nasjonal ID-kortene som 90 prosent av innbyggerne i Estland har utstedt. I går gikk estlenderne til valgurnene for å stemme i kommunevalg. Fra tidligere er det kjent at omtrent en tredjedel av landets innbyggere velger å stemme elektronisk i nettleseren ved hjelp av disse smartkortene. Landets politimyndighet gjør det klart at de mener alle ID-kortene er sikre i en kunngjøring mandag.

Kommentarer (3)

Kommentarer (3)
Til toppen