インフィニオン テクノロジーズ製の暗号チップを使用するスマートカード、セキュリティ トークン、ラップトップ、その他のデバイスによって生成される RSA キーは脆弱で解読可能であるため、より強力なアルゴリズムで再生成する必要があります。
つまり、インフィニオンのTPM(トラステッド・プラットフォーム・モジュール)は、VPNのセキュリティ保護、信頼できるブートシーケンスの実装、ディスク全体の暗号化、クラウドアカウントへのアクセス許可、暗号化証明書の生成など、数え切れないほどのコンピュータやガジェットでRSA鍵ペアを生成するために使用されています。これらのシステムの中核を成す秘密は、意志の強い敵によって数学的に解読される可能性があり、攻撃者はコンピュータを制御し、TPMに組み込まれたRSA鍵で保護されたデータを解読する可能性があります。
以前、このページでファームウェアのバグについて取り上げました。WPA2 KRACKの脆弱性が注目を集めている今、Infineonの脆弱性に関する詳細がいくつか明らかになりました。ご自身が影響を受けていないか、また影響を受けている場合は対策を講じるために、これらの情報をご確認ください。例えば、このバグにより、一部のYubikey 4ガジェットで脆弱な認証キーが生成されるため、早急に交換する必要があります。
基本的には、デバイスの製造元またはオペレーティング システムのメーカーからのアップデートを介して、できるだけ早く TPM のファームウェアをアップグレードし、ハードウェア上の新しいコードまたはより強力な実装を使用して、弱いキーを更新する必要があります。
暗号専門家のトーマス・プターチェク氏は次のように述べています。
Infineon のバグは WiFi のバグよりも大きな問題です。
— トーマス・H・プターチェク (@tqbf) 2017 年 10 月 16 日
その間、私たちは今後 10 年間、この愚かな Infineon 素数検索バグの RSA キーをチェックすることになります。
— トーマス・H・プターチェク (@tqbf) 2017 年 10 月 16 日
TPMの脆弱性を悪用すると、TPMが生成したRSA秘密鍵・公開鍵ペアの公開鍵から因数分解によって秘密鍵を計算できる可能性があります。ただし、これは不可能であるはずであり、秘密鍵部分は秘密のまま保持されるはずです。
このバグは、鍵ペアを生成するチップセットのファームウェアコードに存在し、チェコ共和国ブルノのマサリク大学、英国のセキュリティ企業Enigma Bridge、イタリアのヴェネツィア・カ・フォスカリ大学の研究者チームによって発見されました。2012年以降に製造されたインフィニオンのセキュリティチップ(最新バージョンを含む)はすべて脆弱です。
怪しいInfineonのハードウェアで生成された2,048ビットのRSA鍵ペアを解読するには、約3万ドル相当のクラウドコンピューティング能力が必要だと言われています。そもそも1,024ビットの鍵は一般的に粗悪ですが、脆弱な秘密鍵を因数分解するのは簡単です。
「この攻撃は実用的だが、大規模な攻撃では費用対効果が低いだろう」と、エニグマ・ブリッジのダン・クヴルチェク氏は月曜日にエル・レグ紙に語った。「1,024ビット鍵と2,048ビット鍵の現在の推定プロセッサ時間は、それぞれ97 vCPU日(40ドルから80ドル)、51,400 vCPU日(2万ドルから4万ドル)だ。」
「現時点で最も大きな打撃を受けているのは、ディスク全体の暗号化と一部のクラウドプラットフォームへのアクセス保護のようですが、否認防止署名、電子メール署名、VPNや建物へのアクセス、電子健康カード、電子IDにも影響が及んでいます。」
Cvrcek氏は、InfineonのTPMが「世界で使用されているTPMの25~30%」を占めていると推定しています。欠陥のあるInfineonのチップセットは、世界中のコンピューターメーカーやデバイスメーカーが販売するマザーボード、Chromebookを含むノートパソコン、認証システム、信頼できるブートメカニズム、暗号トークンに搭載されています。
HP、Lenovo、富士通などの大手ベンダーは、ソフトウェアのアップデートと緩和ガイドラインを公開しています。
TPMバグの影響を受けるものについてのアイデア…バグの研究者より
この脆弱性はROCA(Return of Coppersmith's Attack、別名CVE-2017-15361)と呼ばれ、エストニアのIDカードで最近発生したセキュリティ問題の原因と考えられています。このコード欠陥は先週、GoogleとMicrosoftによって文書化されました。
因数分解法を含む本研究の詳細は、ACMのコンピュータおよび通信セキュリティ(CCS)カンファレンスで発表されます。「Coppersmithの攻撃の復活:広く使用されているRSA係数の実用的な因数分解」と題された論文は、11月2日にテキサス州ダラスで開催される同カンファレンスで発表されます。
講演に先立ち、研究者らは、自分のキーが問題の影響を受けるかどうかを人々が判断できるオフラインおよびオンラインの検出ツールを作成しました。®
