Privésleutel van bepaalde Gemalto-smartcards is te achterhalen via Roca-aanval

Het Nederlandse Gemalto heeft bekendgemaakt dat een deel van zijn smartcards, waaronder IDPrime.Net, kwetsbaar is voor de vorige week gepubliceerde Roca-aanval. Die maakt het mogelijk om het privégedeelte van een rsa-sleutel te achterhalen.

In een eigen waarschuwing schrijft het bedrijf dat 'IDPrime.Net-producten mogelijk getroffen zijn'. In een reactie aan The Register laat Gemalto vervolgens weten dat 'een klein deel van aangepaste producten, waaronder IDPrime.Net, getroffen is'. Het bedrijf zou met de desbetreffende klanten in contact zijn om tot een oplossing te komen. Dan Cvrcek, ceo van beveiligingsbedrijf Enigma Bridge, heeft een test uitgevoerd met rsa-sleutels van 512bit en stelde vast dat de kaarten inderdaad kwetsbaar zijn. De sleutels waren in maximaal twintig minuten te kraken op een normale pc.

Hoewel de kaarten sinds september van dit jaar niet meer verkocht worden, schat Cvrcek dat ze nog bij veel bedrijven in gebruik zijn, bijvoorbeeld voor beveiligde e-mail en vpn-verbindingen. Uit een mededeling van Gemalto blijkt dat de smartcards eind september 2018 de end-of-lifestatus zullen bereiken. Door het achterhalen van de privésleutel zouden kwaadwillenden bijvoorbeeld in staat kunnen zijn een kwetsbare smartcard te klonen.

Onderzoekers publiceerden de details van Roca vorige week, waardoor ze enigszins overschaduwd werden door de kort daarvoor gepresenteerde Krack-aanval op wpa en wpa2. Ze kwamen erachter dat Infineon-chips onveilige rsa-sleutelparen genereren vanwege een gebrekkige implementatie, waardoor de privésleutel aan de hand van de publieke sleutel te achterhalen is. De door de chips geproduceerde rsa-sleutels zijn vatbaar voor een factorization attack.

Bij publicatie bleek al dat 750.000 Estse id-kaarten vatbaar zijn voor Roca. De onderzoekers hebben een onlinetool ter beschikking gesteld waarmee gebruikers een publieke sleutel kunnen controleren op de kwetsbaarheid. Er is ook een offlinevariant beschikbaar.

IT-banen

Reacties (9)

pegasuz1979 24 oktober 2017 16:19

Wat met Belgische e-ID's? Ook van Gemalto-makelij dacht ik?
Zijn deze ook kwetsbaar?

Verwijderd @pegasuz1979 • 24 oktober 2017 16:38

Belgische e-ID's hebben geen 512b-sleutels. Dat kraken in 20 minuten gaat niet lukken.

Sommige kaarten in omloop hebben nog een 1024b-sleutel. Deze zijn te kraken.
De meeste kaarten in omloop hebben een 2048b-sleutel. Deze kraken kost veel computercapaciteit. Initieel was er sprake van een kostprijs ~75.000€. Lijkt mij moeilijk haalbaar. (Je zou eventueel een rechtzaak voor de Raad Van State kunnen saboteren, aangezien stukken daar via een online-docket kunnen ingediend worden.)

Manu_ @Verwijderd • 24 oktober 2017 17:52

Die 512 bit keys waren alleen om vast te stellen dat dit type Gemalto kaart vatbaar is voor de aanval, natuurlijk gebruikt niemand meer zulke keys. Maar de auteurs van de ROCA aanval zeggen zelf het volgende over de kraakbaarheid van vatbare sleutels:

512 bit RSA keys - 2 CPU hours (the cost of $0.06);
1024 bit RSA keys – 97 CPU days (the cost of $40-$80);
2048 bit RSA keys – 140.8 CPU years, (the cost of $20,000 - $40,000).

Ook 2048 bit keys gemaakt met die onveilige library zijn dus behoorlijk kraakbaar. Deze getallen lijken trouwens nog een ruime schatting: Cvrcek zegt dat ze een 512 bit key in 3 minuten hebben gekraakt op een standaard laptop.

[Reactie gewijzigd door Manu_ op 24 juli 2024 21:21]

GekkePrutser @Manu_ • 24 oktober 2017 18:32

Ze hebben het daar ook over de maximale tijd ("worst-case"), de tijd om de volledige keyspace te doorlopen. Als je meerdere sleutels kraakt, zal je gemiddeld op de helft daarvan uitkomen.

[Reactie gewijzigd door GekkePrutser op 24 juli 2024 21:21]

GekkePrutser @Verwijderd • 24 oktober 2017 17:51

Maar ze doen dit momenteel op CPU's. De hele optimalisatieslag naar GPU's moet nog gebeuren. Denk dat het nog een keer of 10-20 sneller kan.

Arum @pegasuz1979 • 24 oktober 2017 16:51

Belgische eID's zijn inderdaad ook door Gemalto geproduceerd, maar voor het aanmaken van de keys is niet die onveilige bibliotheek gebruikt hebben ze mij bij Fedict verteld.

lightdestroyer @Arum • 24 oktober 2017 17:27

Dit kan ik hierbij bevestigen.
Sowieso zijn alle "nieuwere" e-ID's (10 jaar geldig ipv 5jaar) sowieso niet van "Gemalto makelij".
Dus moest je je toch onveilig voelen kan je direct uw oude e-ID laten vervangen door een nieuwe; je hoeft hiervoor echt niet te wachten tot je opgeroepen wordt. (Maar is dus gelukkig voor niets nodig).

Zoals je kan zien bestaat er technisch niet "De Belgische e-ID" maar worden deze zo goed mogelijk constant technisch upgedate met de meest aangewezen beveiliging daar deze kaarten 5jaar en nu zelfs 10 jaar "veilig" dienen te blijven.

Arum @lightdestroyer • 25 oktober 2017 12:09

Op mijn 10 jaar geldige Belgische eID kaart van 2017 staat nochtans in groene letters op de achterzijde "GEMALTO/ZETES" gedrukt.

Engineer Stewie @Arum • 24 oktober 2017 22:21

Worden de eID's niet door Zetes geproduceerd?

Die waren vroeger toch redelijk ingeburgerd bij de overheid, zo hard dat de concurrentie nagenoeg geen kans had (ik werkte bij zo een concurrent...)

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (9)

Sorteer op:

Weergave: