Corpus Solutions Security Advisory: ROCA - CVE-2017-15361
19. 10. 2017
CVE-2017-15361
Verze: 1.1
Shrnutí
Knihovna pro RSA od společnosti Infineon verze 1.02.013 generuje klíče pro algoritmus RSA takovým způsobem, který umožňuje velice efektivně dopočítat privátní klíč ze znalosti pouze veřejného klíče.
Popis
Knihovna pro RSA od společnosti Infineon verze 1.02.013 je využívána například v modulech TPM (Trusted Platform Module), čipových kartách, či autentizačních tokenech. Jedním z úkolů této knihovny je generování párových RSA klíčů. Ukázalo se, že generování těchto klíčů je děláno nesprávným způsobem, který útočníkovi umožňuje odhalit soukromý klíč ze znalosti veřejného klíče. S použitím velkého výpočetního výkonu je možné lámat až 2048 bitové RSA klíče.
Nejde o útok na RSA algoritmus jako takový, ale pouze na klíče vygenerované určitým (nesprávným) způsobem. S největší pravděpodobností se tedy nemusíme obávat, že by tento útok šel rozšířit i do dalších použití RSA.
Jelikož je tato zranitelnost poměrně mladá a ještě nebyl ani uveřejněný podrobný popis útoku (bude počátkem listopadu), nejsou zveřejněny ani všechny ovlivněné technologie. Způsob ověření, že se tato zranitelnost týká právě vašeho zařízení, je popsán níže. Zranitelné čipy se zmíněnou knihovnou jsou zabudovány v zařízeních mnoha dalších výrobců.
Hlavní zásluhu na tomto objevu mají vědci z laboratoře CRoCS při Fakultě Informatiky Masarykovy Univerzity.
Dopad
Vzdálený útočník může vypočítat soukromý klíč pro RSA ze znalosti veřejného. To může být použito ke čtení šifrovaných dat, podvržení podpisu, odcizení identity a dalším útokům.
Výzkumníci odhalili, že mezi zranitelnými technologiemi jsou i elektronické doklady, autentizační tokeny, podepisování softwarových balíků, zařízení pro bezpečné bootování, TLS/HTTPS klíče a PGP. Nezbytným předpokladem pro úspěšný útok je používání zranitelné knihovny.
CVSS Metrics:
- Group Base, Socre 8,8, Vector AV:N/AC:M/Au:N/C:C/I:C/A:N
- Group Temporal, Score 6,9, Vector E:POC/RL:OF/RC:C
- Group Enviromental, Score 6,9, Vector CDP:ND/TD:ND/CR:ND/IR:ND/AR:ND
Řešení
Zatím potvrzení výrobci, v jejichž některých produktech byla potvrzena tato zranitelnost: Fujitsu, Google, Hewlett Packard Enterprise, Infineon Technologies AG, Lenovo, Microsoft Corporation, WinMagic, Yubico, Toshiba. Tito výrobci již vydali příslušné patche, které lze nalézt na jejich webových stránkách.
Zatím nejúčinnější způsob, jak odhalit, zda je vaše zařízení náchylné k tomuto útoku je použít některý z nástrojů, které připravili právě v laboratoři CRoCS (viz https://github.com/crocs-muni/roca). Jde o vložení veřejného klíče.
Pokud nejste schopni ověřit, zda je váš klíč zranitelný, není vydána bezpečnostní aktualizace, nebo máte jiný důvod nepostupovat podle pokynů výše, pak dočasným řešením může být přechod na RSA klíče velikosti 4096 bitů.
Pro zařízení pod správou Corpus Solutions aktuálně prověřujeme, zda trpí touto zranitelností nebo čekáme na vyjádření výrobce.
Reference
- https://crocs.fi.muni.cz/public/papers/rsa_ccs17
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15361
- https://www.kb.cert.org/vuls/id/307015
- https://www.infineon.com/cms/en/product/promopages/tpm-update/
Tip: všechny Security Advisory od Corpus Solutions můžete odebírat jako RSS kanál