Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Aanval op zwakke rsa-sleutels van Infineon blijkt sneller uitvoerbaar

Wetenschappers Tanja Lange en Daniel Bernstein hebben de zogenaamde Roca-aanval onderzocht en zijn tot de conclusie gekomen dat deze tot 25 procent sneller uit te voeren is. Dat heeft gevolgen voor een realistisch aanvalsscenario.

De onderzoekers publiceren hun bevindingen in een blogpost. Daarin schrijven ze dat ze hun methode hebben ontwikkeld door de beperkte informatie te bekijken die de ontdekkers van de Roca-aanval ongeveer drie weken geleden publiceerden. Ze melden dat het niet moeilijk was om de aanval te reconstrueren, waardoor zij aannemen dat een 'serieuze aanvaller' de kwetsbaarheid zelf ontdekt zou kunnen hebben en deze had kunnen misbruiken. Ze waren in staat om de aanval tot 25 procent sneller te maken. Ars Technica meldt dat de originele ontdekkers vervolgens een aanval ontwikkelden die vier keer efficiënter was dan de oorspronkelijke.

Lange en Bernstein zeggen dat de oorspronkelijke schattingen over de kosten van een daadwerkelijke aanval veel te hoog zijn ingeschat. Volgens de ontdekkers was 20.000 euro voldoende voor een gemiddelde aanval, maar daarbij gingen ze uit van gehuurde apparatuur en consumenten-cpu's. Dat zou sneller kunnen door eigen apparatuur aan te schaffen die de tijd van een gemiddelde aanval terugdringt naar vier maanden. De cpu's zouden vervangen kunnen worden door gpu's, fpga's of asic's, aldus Lange en Bernstein.

Een aanval met gpu's zou bijvoorbeeld de kosten van het kraken van een kwetsbare 2048bit-sleutel verlagen naar 2000 dollar, stelt Enigma Blue-ceo Dan Cvcek in een e-mail aan Ars Technica. Lange en Bernstein zijn het verder oneens met de inschatting dat verkiezingsfraude in Estland zou vereisen dat alle kwetsbare id-kaarten met de rsa-sleutels worden gekraakt. Een aandeel van 10 procent zou al aanzienlijke verschuivingen in de uitkomst teweeg kunnen brengen. Estland blokkeerde afgelopen vrijdag de certificaten van 760.000 digitale id-kaarten, omdat deze gebruikmaken van de kwetsbare rsa-sleutels.

De door Infineon-chips geproduceerde rsa-sleutels zijn vatbaar voor een zogenaamde factorization attack. Dit betekent dat de publieke sleutel de privésleutel kan onthullen, wat nooit zou mogen gebeuren. Volgens Lange en Bernstein is dit een probleem omdat rsa niet alleen wordt gebruikt voor digitale handtekeningen, maar ook voor encryptie. Dat betekent dat een aanvaller die beschikt over een onderschepte versleutelde tekst later de inhoud terug kan halen, ook al heeft de verzender op een later tijdstip zijn kwetsbare sleutels vervangen.

Door

Nieuwsredacteur

9 Linkedin Google+

Submitter: Jonathan-458

Reacties (9)

Wijzig sortering
Hier kan je een certificaat of public key testen. Je kan het ook zelf doen. De test is best wel simpel.

Let op dat (tot zover bekend) alleen een specifiek bereik van Infineon chip implementaties kwetsbaar is door het gebruik van een kwetsbare library. Een bekend voorbeeld is smartcards, maar denk ook aan Trusted Platform Modules. In alle gevallen zal bij een kwetsbare chip onderzocht moeten worden of de manier waarop de chip gebruikt wordt hem ook daadwerkelijk kwetsbaar maakt. Stel dat een chip een kwetsbare RSA implementatie heeft en alleen ECC gebruikt, dan is er geen risico.

En het blijft het waard om het opnieuw te noemen: RSA is veilig. Deze specifieke implementatie van RSA niet. ;)

[Reactie gewijzigd door The Zep Man op 7 november 2017 11:24]

Als je ECC gebruikt loop je óók risico, maar wel een ánder risico (met uitzondering van P-521 en ‎Ed25519) ;)
Als je ECC gebruikt loop je óók risico,
Maar niet voor deze specifieke kwetsbaarheid, wat het punt was. ;) Sowieso moet je bij elke keuze van cryptografische primitieven de bekende valkuilen meenemen, en mitigaties voor toekomstige valkuilen die nu nog niet zichtbaar zijn.

[Reactie gewijzigd door The Zep Man op 7 november 2017 12:50]

Ze waren in staat om de aanval tot 25 procent sneller te maken. Ars Technica meldt dat de originele ontdekkers vervolgens een aanval ontwikkelden die vier keer efficiënter was dan de oorspronkelijke.
Als ik dit lees is de uiteindelijke snelheidswinst een factor 4?
Slechts 25% van de tijd nodig of 1/4 efficienter. Anders klopt het artikel idd. niet.
En hoe zit dat in vergelijking met RSA sleutels van andere merken? Zijn die ook kwetsbaar?
Nee, dit gaat om een softwarebibliotheek van specifiek Infineon. Zie ook wel hier: nieuws: Onderzoek: Infineon-chips produceren onveilige rsa-sleutels Al heeft dit wel gevolgen voor producten van anderen, zoals Google en Microsoft. De ontdekkers hebben een tool uitgebracht waarmee rsa-sleutels gecheckt kunnen worden. Die is ook in het gelinkte artikel genoemd.
Het strekt nog behoorlijk ver. Sommige HP modellen zijn de TPM chip vulnerable bv. Het is verstandig de website van de vendors van je apparatuur eens langs te gaan en hier op te checken.
Gebruikers van een YubiKey 4 kunnen gratis vervanging krijgen. De oude hardware is nog steeds te gebruiken, maar niet voor PIV of OpenPGP. OTP en U2F keys zijn niet getroffen door deze kwetsbaarheid.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*