Infineon, немецкий производитель доверенных платформенных модулей (trusted platform module, TPM), сообщил об уязвимости, которая позволяет злоумышленникам взломать созданные с их помощью RSA-ключи. Под угрозой миллионы бизнес-лэптопов, защищенных роутеров, смарт-карт, IoT и прочих устройств с установленным модулем Infineon.

TPM — это криптографический процессор, который используется для создания устойчивых ко взлому загрузочных сред, оценки целостности системы, проверки лицензионного ПО, работы с паролями, ключами шифрования и т. д. Модуль шифрует данные с применением алгоритма асимметричного шифрования RSA, который, в свою очередь, работает с очень большими, случайным образом сгенерированными простыми числами.

В январе совместная команда чешских и словацких специалистов по безопасности из Масарикова университета смогла взломать механику «случайного подбора» чисел в основе ключа RSA и определить специфические условия, при которых злоумышленник может расшифровать его. В результате преступнику откроется доступ к самому сердцу системы, построенной на скомпрометированном модуле. Под угрозой оказались миллионы чипсетов, произведенных с 2012 года.

Интересная особенность уязвимости (CVE-2017-15361) заключается в том, что она затрагивает не все RSA-ключи, а их длина не коррелирует напрямую со слабостью. Аналитики определили диапазоны, в которых располагаются наиболее уязвимые ключи: от 512 до 704 бит, от 992 до 1216 бит, от 1984 до 2144 бит. Для оценки исследователи рассчитывали время, за которое искомую пару простых чисел подберет компьютер на базе процессора Intel E5-2650 v3@3GHz Q2/2014 (эта единица называется CPU-час). В худшем случае на взлом 1024- и 2048-битного ключей понадобится соответственно меньше трех CPU-месяцев и 100 CPU-лет. Виртуализация вычислительных мощностей позволяет злоумышленникам выполнять расчеты параллельно на множестве процессоров, сокращая этот период кратно количеству используемых ядер. Исходя из расценок на облачные ресурсы Amazon, исследователи рассчитали стоимость взлома — для 1024-битного ключа она составила всего 76 долл. США. 2048-битная последовательность обойдется преступникам гораздо дороже — от 40 000 долл. США. Ключи следующего порядка на данном этапе остаются неуязвимыми, но аналитики Масарикова университета предупреждают, что с развитием технологий ситуация может измениться.

В феврале исследователи передали данные об уязвимости Infineon и условились опубликовать свои наработки через восемь месяцев. Производитель оповестил о случившемся компании, которые используют его продукцию в своих устройствах. Список включает Microsoft, Google, Acer, ASUS, Fujitsu, HP, Lenovo, LG, Samsung и Toshiba. Кроме того, уязвимость затронула 750 тысяч эстонских электронных ID-карт, в которых также установлены TPM Infineon.

Корпорация Google, чьи устройства на базе Chrome OS попали в зону риска, успокоила своих клиентов, что уязвимость не представляет массовой угрозы. В то же время она может оказаться ценной находкой для организаторов направленных атак.

Бывший сотрудник Агентства национальной безопасности США, а ныне руководитель компании Rendition Infosec Джейк Уильямс (Jake Williams) представил два подобных сценария. В первом злоумышленник взламывает ключ доверенного источника программного обеспечения и рассылает его клиентам зловредное ПО. Эта схема уже знакома общественности по недавней атаке шифровальщика NotPetya и компрометации дистрибутива CCleaner. Второй пример включает запуск вредоносного приложения на целевой машине в обход защиты TPM. Это может быть личный ноутбук главы корпорации, промышленный агрегат и еще сотни типов разных высокотехнологичных устройств.

Пользователи могут узнать, попало ли их устройство под угрозу, проверив устойчивость сгенерированного на нем RSA-ключа. Для этого предлагается несколько инструментов, как в онлайне, так и оффлайн. Кроме того, Infineon призывает конечных пользователей обратиться за информацией и обновлениями ПО напрямую к производителю их устройств.

Апдейт алгоритма шифрования в настоящий момент проходит сертификацию, прошивку самого TPM переработали для дальнейшего производства и полевых обновлений. Полную информацию об уязвимости исследовательская команда обещает представить 2 ноября на конференции ACM CCS.

Категории: Главное, Уязвимости