Abonner
SIKKERHET

Millioner av kryptonøkler må byttes ut

Kritisk feil påvist i kodebibliotek brukt av Infineon-brikker.

Infineons sårbare kryptobibliotek rammer svært mange systemer. Bak arbeidet står forskerne Matus Nemec, Marek Sys, Petr Svenda, Dusan Klinec og Vashek Matyas, alle tilknyttet Masaryk University.
Infineons sårbare kryptobibliotek rammer svært mange systemer. Bak arbeidet står forskerne Matus Nemec, Marek Sys, Petr Svenda, Dusan Klinec og Vashek Matyas, alle tilknyttet Masaryk University. Bilde: The Return of Coppersmith's Attack: Practical Factorization of Widely Used RSA Moduli
Del
Kommenter
Marius B. JørgenrudMarius B. JørgenrudJournalist
16. okt. 2017 - 16:13

Wifi-sårbarheten er ikke den eneste alvorlige sikkerhetstrusselen som ble kjent i dag.

Forskere har også påvist en kritisk sårbarhet i RSA-nøkkelpar generert av TPM-brikker eller mikrokontrollere (Trusted Platform Module) fra den tyske produsenten Infineon Technology.

En algoritmisk svakhet i Infineons eget kodebibliotek gjør det mulig å knekke en lang rekke private RSA-kryptonøkler, inkludert nøkkellengder på 1024 og 2048 bits.

Dette kodebiblioteket skal ha generert svake nøkler i hvert fall siden 2012. Millioner av private kryptonøkler er i fare og må erstattes, ifølge Ars Technica.

Berører mange

En lang rekke produsenter av bærbare pc-er, rutere, integrerte systemer og tingenes internett-enheter er berørt. Det inkluderer blant annet Acer, Asus, Fujitsu, HP, Lenovo, LG, Samsung, Toshiba, og enkelte mindre Chromebook-leverandører, skriver Bleeping Computer.

Nasjonale ID-smartkort, digital signering av dokumenter og programvare er noe av det som kan forfalskes.

– Ikke minst er svakheten urovekkende fordi den befinner seg i kode som følger to internasjonalt anerkjente serifiseringstandarder innen sikkerhet, som er bindende for mange lands myndigheter, leverandører og selskap verden over, skriver Ars Technica.

Det er en gruppe tsjekkiske og slovakiske sikkerhetsforskere som står bak oppdagelsen, som ble kunngjort i dag. Gruppen har døpt sårbarheten ROCA som er en forkortelse av tittelen på forskningsarbeidet deres som snart skal utgis: «The Return of Coppersmith's Attack: Practical Factorization of Widely Used RSA Moduli».

E-valg

Infineon ble informert tilbake i februar. Partene ble da enige om å vente åtte måneder med å offentliggjøre svakheten. Detaljene skal først legges fram under ACM CCS-konferansen i Dallas, USA om to uker.

Artikkelen fortsetter etter annonsen
annonsørinnhold
Statens vegvesen
Slik blir Moss IT-sentrum for smartere veier

I mellomtid har berørte leverandører av utstyr og programvare fått tid til å forberede seg. Microsoft, Google og Infineon sendte ut sikkerhetsvarsler i forrige uke.

Svakheten skal også berøre de nasjonal ID-kortene som 90 prosent av innbyggerne i Estland har utstedt. I går gikk estlenderne til valgurnene for å stemme i kommunevalg. Fra tidligere er det kjent at omtrent en tredjedel av landets innbyggere velger å stemme elektronisk i nettleseren ved hjelp av disse smartkortene. Landets politimyndighet gjør det klart at de mener alle ID-kortene er sikre i en kunngjøring mandag.

Les mer om:
INFINEON TECHNOLOGYKRYPTERINGRSASIKKERHET
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Tekjobb-Indeksen 2024!
Les mer
Tekjobb-Indeksen 2024!
    En tjeneste fra