RSA-Sicherheitslücke: Infineon erzeugt Millionen unsicherer Krypto-Schlüssel

RSA-Schlüssel von Hardware-Kryptomodulen der Firma Infineon lassen sich knacken. Das betrifft unter anderem Debian-Entwickler, Anbieter qualifizierter Signatursysteme, TPM-Chips in Laptops und estnische Personalausweise.

Artikel veröffentlicht am , Hanno Böck
Bei Yubikey setzte man statt auf offenes Design lieber auf zertifizierte Hardware-Krypto von Infineon. Das ging gehörig schief.
Bei Yubikey setzte man statt auf offenes Design lieber auf zertifizierte Hardware-Krypto von Infineon. Das ging gehörig schief. (Bild: Yubico / Wikimedia Commons/CC-BY-SA 4.0)

Ein Team von tschechischen und slowakischen Forschern hat eine schwere Sicherheitslücke in einer von Infineon entwickelten Verschlüsselungsbibliothek entdeckt. Die damit erzeugten Schlüssel mit dem RSA-Verfahren sind unsicher und lassen sich mit größerem Aufwand knacken. Die Bibliothek kommt in zahlreichen Hardware-Kryptomodulen zum Einsatz.

Inhalt:
  1. RSA-Sicherheitslücke: Infineon erzeugt Millionen unsicherer Krypto-Schlüssel
  2. Estnische ID-Karten und TPM-Chips betroffen
  3. Yubico: Zertifizierung statt Open Source

Genaue Details über die Sicherheitslücke sind bislang nicht bekannt. Die sollen erst in zwei Wochen auf der Konferenz CCS (Computer and Communications Security) veröffentlicht werden. Auf einer Webseite haben die Entdecker der Lücke mit dem Namen ROCA jedoch einige Vorabinformationen bereitgestellt. Weiterhin gibt es ein frei verfügbares Tool, mit dem man prüfen kann, ob RSA-Schlüssel von der Lücke betroffen sind. Die Lücke wird unter der Kennung CVE-2017-15361 geführt.

Primzahlen nicht zufällig genug

Was bislang klar ist: Es handelt sich nicht um eine Schwäche im RSA-Algorithmus selbst, sondern um gravierende Fehler bei der Implementierung der Schlüsselerzeugung in Infineon-Produkten. Die betroffenen Geräte sind alle Hardware-Kryptomodule, allerdings sind die Fehler nicht in der Hardware direkt implementiert, sondern in der darin vorhandenen Embedded-Software.

Offenbar schlampt die Infineon-Bibliothek bei der Erzeugung von Primzahlen - und das in einer Weise, die später erkennbar ist, wenn man den öffentlichen Schlüssel analysiert. Ein öffentlicher RSA-Schlüssel besteht aus zwei Zahlenwerten. Einer davon ist das Produkt aus zwei großen, zufällig erzeugten Primzahlen. Das entscheidende: Wer die beiden Primzahlen kennt, kann den privaten Schlüssel berechnen. Somit ist es absolut essentiell, dass die Primzahlen geheim bleiben.

Stellenmarkt
  1. Projektmanager (m/w/d) Zentrallogistik - Schwerpunkt ERP
    Goldbeck GmbH, Bielefeld
  2. Software Developer für Anwendungen und Schnittstellen (m/w / divers)
    Continental AG, Villingen
Detailsuche

Anhand der bisher verfügbaren Informationen ist wohl davon auszugehen, dass die Primzahlen nicht wirklich zufällig erzeugt wurden. Aus dem Titel des angekündigten CCS-Vortrags geht hervor, dass es sich um eine Variante des Coppersmith-Angriffs handelt. Der Kryptograph Dan Coppersmith entdeckte 1996 eine effiziente Möglichkeit, RSA-Schlüssel zu knacken, wenn ein Teil des privaten Schlüssels bekannt ist. Auf einer Informationsseite von Infineon wird angedeutet, dass man zur Erzeugung der Primzahlen ein schnelleres Verfahren wählte, da die gängigen Verfahren in den entsprechenden Hardwaremodulen zu langsam waren. Detailinfos gibt es allerdings auch hier bisher nicht.

Wie aufwendig der Angriff dann ist, hängt von der Schlüssellänge ab. Die Entdecker geben dafür geschätzte Kosten auf virtualisierten Amazon-Instanzen an. Für Schlüssel mit einer Länge von 1024 Bit sind die Kosten gering - etwa 40 bis 80 Dollar. Solche Schlüssel gelten zwar sowieso aufgrund ihrer geringen Länge als potenziell unsicher, allerdings konnte bislang noch niemand einen praktischen Angriff auf korrekt erzeugte 1024-Bit-Schlüssel zeigen.

Bei Schlüsseln mit 2048 Bit - die kommen in der Praxis am häufigsten zum Einsatz - schätzen die Forscher die Kosten für einen Angriff auf 20.000 bis 40.000 Dollar. Für 4096-Bit-Schlüssel schätzen die Entdecker, dass der Angriff nicht praktikabel durchführbar ist, allerdings könnten Verbesserungen des Angriffsalgorithmus dies in Zukunft ändern.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Estnische ID-Karten und TPM-Chips betroffen 
  1. 1
  2. 2
  3. 3
  4.  


cpt.dirk 30. Apr 2018

Wieder einmal ist der Beweis erbracht, dass "Security by Obscurity" - und nichts anderes...

My1 20. Okt 2017

Gut ich hab mich mit dem store nie wirklich beschäftigt. Vor ner Ewigkeit stand iirc mal...

My1 20. Okt 2017

wieso eigentlich? gerade bitlocker braucht eh ne ewigkeit zum festplatte crypten, da...

mmarcel 19. Okt 2017

wirlich nicht ;-)



Aktuell auf der Startseite von Golem.de
Neue Grafikkarten
Erste Preise für Nvidias Geforce RTX 4090 aufgetaucht

Der US-Händler Newegg gibt einen Blick auf die Preise der Nvidia-Ada-Grafikkarten. Sie werden teurer als die Geforce RTX 3090 zuvor.

Neue Grafikkarten: Erste Preise für Nvidias Geforce RTX 4090 aufgetaucht
Artikel
  1. Smart Home Eco Systems: Was unterscheidet Alexa von Homekit von Google Home?
    Smart Home Eco Systems
    Was unterscheidet Alexa von Homekit von Google Home?

    Alexa, Homekit, Google Home - ist das nicht eigentlich alles das Gleiche? Nein, es gibt erhebliche Unterschiede bei Sprachsteuerung, Integration und Datenschutz. Ein Vergleich.
    Eine Analyse von Karl-Heinz Müller

  2. Hideo Kojima: Es sollte ein Death-Stranding-Spiel für Google Stadia geben
    Hideo Kojima
    Es sollte ein Death-Stranding-Spiel für Google Stadia geben

    Hideo Kojima arbeitete am Exklusivtitel für Stadia. Das wurde vorzeitig eingestellt, auch weil Google nicht an Einzelspieler-Games glaubte.

  3. Superbase V: Zendures Solarstation mit 6.400 Wh kommt mit hohem Rabatt
    Superbase V
    Zendures Solarstation mit 6.400 Wh kommt mit hohem Rabatt

    Vor dem Verkaufsstart über die eigene Webseite verkauft Zendure seine Superbase V über Kickstarter - mit teilweise fast 50 Prozent Rabatt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Razer DeathAdder V3 Pro 106,39€ • Alternate (u. a. Kingston FURY Beast RGB 32 GB DDR5-6000 226,89€, be quiet! Silent Base 802 Window 156,89€) • MindFactory (u. a. Kingston A400 240/480 GB 17,50€/32€) • SanDisk microSDXC 400 GB 29,99€ • PCGH-Ratgeber-PC 3000 Radeon Edition 2.500€ [Werbung]
    •  /