還記得之前發表的關于英飛淩芯片存在加密漏洞的報道嗎(ma)?最新的跟蹤報道又(yòu)來啦。研究人員(yuán)表示,他們發現了更快、更便宜的方法來利用這個漏洞。
英飛淩在上個月發布安全警報,英飛淩TPM芯片用于生(shēng)成RSA加密密鑰的模塊存在一(yī)個漏洞。基于TCG(Trusted Computing Group,可信賴計算組織)規範1.2和2.0版的英飛淩TPM芯片均受其影響。
該漏洞被标識爲CVE-2017-15361,并被稱爲ROCA(Return of the Coppersmith Attack)。具體(tǐ)表現爲英飛淩芯片會生(shēng)成不安全的RSA加密密鑰,這就允許攻擊者利用這些RSA加密密鑰來冒充合法用戶,解密消息并僞造軟件簽名。
衆多廠商(shāng)受到影響,包括宏碁、華碩、富士通、惠普、聯想、LG、三星、東芝等,這些公司也随之向其客戶發出了風險警告。
在之後的報道我(wǒ)們還看到,這個漏洞也影響到了愛沙尼亞的公民身份證。受影響的身份證爲2014年10月至2017年10月25日之間發行的,合計約有76萬人受影響,人數接近愛沙尼亞一(yī)半的人口。而這還僅是在愛沙尼亞,英飛淩芯片是否被用于其他國家的公民身份證,我(wǒ)們尚不得知(zhī)。
研究人員(yuán)在最初的研究中(zhōng)表示,一(yī)個1024位的RSA密鑰可以在97個CPU days被破解,使用舊(jiù)版的英特爾Xeon處理器的成本爲40-80美元;一(yī)個2048位密鑰可以在140個CPU years被破解,成本在2萬至4萬美元之間。
愛沙尼亞當局向其公民保證,利用這個漏洞來發起大(dà)規模攻擊成本費(fèi)用會很高。如果有人試圖将所有的身份證都利用起來,大(dà)約需要花費(fèi)600億歐元(700億美元),平均每張身份證花費(fèi)高達8萬美元。
然而,研究人員(yuán)Daniel J. Bernstein和Tanja Lange在上周末指出,獲得RSA密鑰的實際成本要低得多,他們甚至找到了更快的方法來破解并獲取這些密鑰。
愛沙尼亞當局引用的每張身份證8萬美元的成本估計是指研究人員(yuán)使用的初始算法。而他們在之後使用的算法将這個數字降到了2萬美元。
不僅如此,Daniel J. Bernstein和Tanja Lange還找到了一(yī)種能夠快速破解2048位密鑰的方法,這樣可以進一(yī)步降低攻擊成本。
同時,他們也指出,自2016年8月以來,英飛淩芯片的漏洞就已經存在并一(yī)直持續,ROCA在披露之前就很可能已經被利用。
上一(yī)篇:物(wù)聯網應用平台研華WebAccess軟件爆任意代碼執行漏洞
下(xià)一(yī)篇:安全從業人員(yuán)的價值