В библиотеке Infineon, которой оснащаются смарткарты и TPM-модули на базе чипов компании Infineon Technologies AG, выявлена уязвимость (https://crocs.fi.muni.cz/public/papers/rsa_ccs17), существенно снижающая стойкость к факторизации (https://ru.wikipedia.org/wiki/%D0%A4%D0%... параметров генерации ключа по имеющемуся открытому ключу. Атака получила название "ROCA" и касается RSA-ключей, сгенерированных с использованием смарткарт и вшитых в некоторые материнские платы чипов-криптоакселераторов.Уязвимость присутствует как минимум с 2012 года и затрагивает в том числе устройства, имеющие сертификаты безопасности NIST FIPS 140-2 и CC EAL 5+. Например, проблеме оказались подвержены (https://www.ria.ee/en/id-cards-affected-by-the-security-risk... 750 тысяч выпущенных в Эстонии идентификационных карт, снабжённых 2048-битными ключами RSA, а также ключи созданные с использованием TPM-модулей Infineon в устройствах Microsoft (BitLocker), Google (Chromebook), HP, Lenovo, Acer, ASUS, LG, Samsung, Toshiba и Fujitsu. Практические методы атаки доступны для 512-, 1024- и 2048-разрядных ключей и позволяют воссоздать закрытый ключ только на основе данных открытого ключа (доступ к смарткарте или TPM-модулю не требуется).
Из-за некачественного формирования случайных простых чисел, лежащих в основе RSA-ключа, стойкость созданных при помощи библиотеки Infineon ключей кардинально снижается, напирмер, для воссоздания 512-битного RSA-ключа по открытому ключу требуется всего 2 часа процессорного времени, 1024-битного - 97 дней работы CPU (стоимость подбора в Amazon AWS составляет $40-$80), 2048-битного - 140.8 лет CPU (стоимость подбора $20-40 тысяч). Ключи размером 3072 и 4096 бит требуют слишком много ресурсов и даже несмотря на существенное снижение стойкости остаются надёжными. Для проверки RSA-ключей введена в строй (https://keychest.net/roca) web-форма, которая позволяет определить наличие проблемы по
открытому RSA-ключу. Детали атаки планируется раскрыть 2 ноября на конференции ACM CCS-2007 (https://www.sigsac.org/ccs/CCS2017/).
URL: https://arstechnica.com/information-technology/2017/10/crypt.../
Новость: http://www.opennet.me/opennews/art.shtml?num=47396
Гм, а эстонцы всё-таки ещё большие слоупоки, чем я думал -- кто же нынче RSA 2048-битный применяет?..
В универсальной электронной карте гражданина РФ тоже RSA-2048
По данным на сайте http://www.uecard.ru/ выдано более 25 млн таких карт.А теперь внимание. Карта представляется как ATQA=0004 и SAK=88, а это Mifare Classic 1K от
Infineon. В отличие от эстонцев эти карты никто обновлять не будет, так как у проекта электронных паспортов свернули финансирование.
Справедливости ради, по спецификации минкомсвязи на УЭКах могли быть не только RSA, но и ГОСТ. Прошедшее время потому, что проект УЭК закрыт ( http://www.uecard.ru/press/news/ao-uek-soobshchaet-o-zakryti.../ ), карты никто обновлять не будет - их просто выкинут.
> Справедливости ради, по спецификации минкомсвязи на УЭКах могли быть не только RSA,
> но и ГОСТ. Прошедшее время потому, что проект УЭК закрыт (
> http://www.uecard.ru/press/news/ao-uek-soobshchaet-o-zakryti.../
> ), карты никто обновлять не будет - их просто выкинут.грядёт изменение госта, кстати
Шшооо опять?..
> Шшооо опять?..Как будто в exUSSR был дефицит в желающих распилить. Это ж не эстонцы какие-то.
дотянулось проклятое АНБ.
очень похоже что да. Хороший так вот спрятанный бэкдор. подсунутый нужным людям
> дотянулось проклятое АНБ.До тебя дотянулось? Спалили всю твою порнуху с конями? Лучше бойся ФСБ - эти придут к тебе мимо всех твоих VPN, так, просто поздороваться. Но при этом тут же найдут у тебя наркотики. И тут же предложат тебе сделку: либо ты признаёшся в киберпреступлении, которого не совершал и тебе дают условно (это, если им поверить), либо идёшь реально за "свою" наркоту. Полюбасу, у них одно из дел "раскрыто".
https://sites.google.com/a/chromium.org/dev/chromium-os/tpm_...
А все потому что все сотрудники ленивые и не хотят работать. Говорю как сотрудник.
Олежа! поехали, тебя уже ждут:)
Никогда не понимал, зачем использовать длину rsa меньше 4096, если она из коробки является опцией. Какое-то крохоборство.
4096-битное RSA почти в десять раз медленнее.
зато в 10 раз безопасней
скорее в 10^10
https://www.gnu.org/server/standards/translations/ru/gnupg/g...
То есть, если ключ не генерился этим чипом, то всё в порядке? Ай на зонд!
Как узнать, есть в системе этот чип?
sudo dmidecode | grep -i Infineon || echo "not vulnerable"релевантно?
dmesg | grep -i tpmА дальше смотрите кто производитель.
Ясно, спасибо
[ 0.000000] ACPI: SSDT 000000009cdd7000 006A5 (v01 Intel_ TpmTable 00001000 INTL 20120711)штеуд значит
Запусти tpm_version
Если в "TPM Vendor ID" стоит "IFX", значит чип от Infineon.
выглядит как хорошо заныканый бэкдор.
Интересно, а по какому именно CPU приведены данные о скорости подбора? По сферическому в вакууме?
> Интересно, а по какому именно CPU приведены данные о скорости подбора? По
> сферическому в вакууме?Там в новости же накорябано - Amazon AWS, вот и ройте, на чём оно.
> Интересно, а по какому именно CPU приведены данные о скорости подбора? По сферическому в вакууме?Гхм, первая же ссылка в новости:
> Description of the vulnerability...
> The time complexity and cost for the selected key lengths (Intel E5-2650 v3@3GHz Q2/2014):
> 512 bit RSA keys - 2 CPU hours (the cost of $0.06);
> 1024 bit RSA keys – 97 CPU days (the cost of $40-$80);
> 2048 bit RSA keys – 140.8 CPU years, (the cost of $20,000 - $40,000).
в этой связи вспоминаются "слабые" блоки замен для DES который таки был стандартом в США..
Бэкдор или нет - хз.
Вопрос к математикам.
Критерии надёжности для RSA ключей давно известны и по идее всякие openssl содержат в себе средства проверки на слабость, как минимум внутри.Могу напомнить что вроде в дебиане был хреновый ГСПЧ и он тоже генерировал весьма унылые ключи.
Вопрос к TPM модулям не столько в слабых ключах (ключ то можно и отдельно сгенерировать и закинуть в тпм), сколько в том, а реально ли они такие неизвлекаемые как производители клянутся.
Всеми виной слишком быстые компьютеры!
> Всеми виной слишком быстые компьютеры!Вот и сам Infineon то же говорит: http://www.eenewseurope.com/news/infineon-responds-encryptio...
Типа во всем виноваты "new advanced mathematical methods", а чип и железо вообще не причем! :)