设为首页   在线评论   推广技巧   发布求购   免费注册   激活帐号
一卡通世界
当前位置:一卡通世界 >> 新闻中心 >> 行业动态 >> 智能卡 >> 英飞凌芯片爆出严重安全漏洞

英飞凌芯片爆出严重安全漏洞

来源:安全牛      2017-10-20 8:59:10

  微软、谷歌、惠普、联想和富士通,几大科技巨头警告客户:德国半导体制造商英飞凌科技生产的某些芯片,受加密相关严重漏洞影响。

 

  可信平台漏洞可使攻击者获取RSA私钥

  该漏洞编号为CVE-2017-15361,与可信平台模块(TPM)相关。TPM是一个国际标准,用于保护计算设备中的加密过程,安全存储密钥、口令、证书和其他敏感数据。为保护硬件安全,一些英飞凌微控制器中实现了TPM。

  该问题在于,TPM产生的RSA密钥(比如出于磁盘加密目的),可因所谓“快速质数”技术的使用而被破解。“快速质数”是一种帮助加速RSA公/私钥对产生的算法。

  捷克马萨里克大学、英国 Enigma Bridge 公司,以及意大利威尼斯东方大学的一组研究人员,发现了该问题。

  据介绍,该漏洞可致知晓公钥的攻击者获取到RSA私钥。此类攻击可远程进行,漏洞芯片产生的所有的密钥都受影响。研究人员称:1024比特的RSA密钥,用一片老式英特尔Xeon处理器,花40-80美元,在97个CPU日之内即可破解;而2048比特的密钥,要用 140 CPU 年,且花费在2万到4万美元之间。英飞凌估测,如果使用600个CPU,2048比特密钥可在1个月之内被破解。

  私钥可被用于冒充合法拥有者、解密敏感消息、伪造签名(比如软件发布),还有其他相关攻击。

  当然,漏洞的切实后果,取决于使用场景、公钥可用性和所用密钥长度。研究员们发现并分析了多个领域中的脆弱密钥,包括电子公民文件、身份验证令牌、可信启动设备、软件包签名、TLS/HTTPS密钥和PGP。目前已确认的脆弱密钥数量约有76万个,但实际脆弱密钥数量可能多出2到3个数量级。

  漏洞的完整技术细节,将在11月初举行的ACM计算机与通信安全大会(CCS)上公布。

  受影响科技巨头发布安全公告

  该漏洞在1月底被发现,2月报告给了英飞凌。该公司一直在与受影响硬件原始设备制造商(OEM)和PC制造商合作解决该问题。

  英飞凌发布了一个固件更新(https://www.infineon.com/cms/en/product/promopages/tpm-update/?redirId=59160),为该漏洞打上补丁。而微软、谷歌、惠普、联想和富士通,则已发布安全公告提请客户注意。

  微软称,尚未发现利用该漏洞的任何攻击,但已发布Windows安全更新,并警告用户:TPM固件更新仍需安装,且之前创建的密钥都应重新发布。

  惠普也发布了诸多更新,包括其多款笔记本电脑、移动工作站、瘦客户端、商用台式机、零售系统和工作站台式机。受影响型号有:Chromebook、Elite、EliteBook、mt和t瘦客户端、Pro、ProBook、Stream、ZBook、ZHAN、260 G1/G2、280 G1/G2、406 G1/G2、Elite Slice、EliteDesk、EliteOne、ElitePOS、MP9、ProDesk、ProOne、RP9、Z工作站、Envy、Spectre和OMEN X。

  联想称其多款产品不受该漏洞影响。受影响设备仅有各型ThinkCentre、ThinkPad和ThinkStation。

  谷歌则公布了受影响Chromebook列表(https://sites.google.com/a/chromium.org/dev/chromium-os/tpm_firmware_update)。该公司称, Chrome OS 依赖TPM产生的RSA密钥实现几个功能,包括延缓暴力破解攻击、硬件支持的密钥和证书,以及 Verified Access 认证过程。

  富士通发布了多款工具以解决其受影响产品中的漏洞,包括OEM主板、ESPRIMO台式机、FUTRO瘦客户端、CELSIUS工作站、LIFEBOOK笔记本电脑、STYLISTIC平板和PRIMERGY服务器。

  英飞凌表示,WinMagic全盘加密软件同样受到了影响,但该软件目前尚无任何通告。

分享到新浪微博     分享到腾讯微博         责任编辑:苏洁   投稿邮箱:editor@yktworld.com
关于 英飞凌  TPM芯片  安全漏洞 的新闻
  • 英飞凌芯片漏洞坐实,爱沙尼亚一半人口电子身份证被停用
  • 英飞凌推出可穿戴设备即插即用型NFC安全模块 已获CFCA认证
  • 韩国机场安全系统升级:使用新型门禁管制卡
  • 英飞凌扩展非接触式CIPURSE™安全解决方案产品组合
  • 英飞凌双界面革命性“线圈模块”封装技术上市
  • 遭欧盟判决智能卡芯片涉垄断被罚 英飞凌将上诉
  • 山东15城市试点高速e行自动支付 将实现不领卡不停车
    山东15城市试点高速e行自动支付 将实现不领卡不停车
    海南将建省级全民健康信息平台 普及应用居民健康卡
    海南将建省级全民健康信息平台 普及应用居民健康卡
    马鞍山市居民健康卡虚拟化应用及“多证合一”项目方案公示
    马鞍山市居民健康卡虚拟化应用及“多证合一”项目方案公示
    重庆银监局发《关于进一步加强信用卡风险防控的通知》
    重庆银监局发《关于进一步加强信用卡风险防控的通知》
    相关产品
    最新收录
    新闻   产品   企业   招标   求购
    技术   方案   下载
    关于我们
    网站介绍   广告服务   会员分类   联系方式
    企业推广   产品推广
    Copyright © 一卡通世界网
    粤ICP备11061396号-3   粤公网安备 44030602000993号