Обнаружена уязвимость в библиотеке программного обеспечения, ответственной за создание ключевой пары RSA, используемой в аппаратных чипах, производимый Infineon Technologies AG. Уязвимость
Сложность факторизации атаки не является одинаковой для всех длин ключей. Обратите внимание, что 4096-разрядный ключ RSA сейчас не часто применяется, но все изменится, если нападения улучшатся. Время сложности и стоимости для выбранной длины ключей (Intel E5-2650 v3@3GHz Q2/2014):
512 битные RSA ключи – 2 часа (стоимость $0,06)
1024 битные RSA ключи – 97 дней (стоимость от $40-$80)
2048 битные RSA ключи – 140.8 лет (стоимость $20000-$40000)
Имейте в виду, что эти критерии для одного процессора. Для некоторых учреждений атаки принимают тривиальное время для завершения. Заинтересованные пользователи могут проверить свои открытые ключи
В этом примере уязвимые ключи не были найдены. А вы найдете свой? Если да - то лучше быстрее замените его на новый RSA ключ.
А 2017 год продолжает преподносить нам дары по информационной безопасности каждый день:
Вчера мы оплакивали смерть WPA2 и видели SHA-1 сломанным.
Broadcom WiFi-эксплоит на одном миллиарде смартфонов (Broadpwn).
Уязвимость Bluetooth, который не будет исправлена в около 40% устройств.
И наконец, ваши учетные данные, кэшированные в поисковых системах.
etc
Ссылка скрыта от гостей
позволяет злоумышленнику используя атаку
Ссылка скрыта от гостей
вычислить закрытый ключ. Пострадавшее оборудование включает в себя криптографические смарт-карты, маркеры безопасности и другие аппаратные чипы безопасности, произведенные Infineon Technologies AG. Библиотека с уязвимостью также интегрирована в аутентификации, подписи и шифрование маркеров других поставщиков и чипы для доверенной загрузки операционных систем. Основные производители, включая Microsoft, Google, HP, Lenovo и Fujitsu уже выпустили обновления программного обеспечения и руководящие принципы для смягчения последствий. Исследователи обнаружили и анализ уязвимых ключей в различных областях, включая электронные паспорта (750 000 эстонских удостоверения), маркеры проверки подлинности, доверенные загрузочные устройства, пакет программного обеспечения подписания TLS/HTTPS ключей и PGP. В настоящее время подтвержденное число уязвимых ключей около 760 000, но может быть от двух до трех порядков выше.Сложность факторизации атаки не является одинаковой для всех длин ключей. Обратите внимание, что 4096-разрядный ключ RSA сейчас не часто применяется, но все изменится, если нападения улучшатся. Время сложности и стоимости для выбранной длины ключей (Intel E5-2650 v3@3GHz Q2/2014):
512 битные RSA ключи – 2 часа (стоимость $0,06)
1024 битные RSA ключи – 97 дней (стоимость от $40-$80)
2048 битные RSA ключи – 140.8 лет (стоимость $20000-$40000)
Имейте в виду, что эти критерии для одного процессора. Для некоторых учреждений атаки принимают тривиальное время для завершения. Заинтересованные пользователи могут проверить свои открытые ключи
Ссылка скрыта от гостей
или, может быть лучшей идеей будет путем клонирования в следующие хранилище GitHub в автономном режиме . Вы можете произвести следующие действия, чтобы проверить ваши известные открытые ключи:
Код:
$ sudo pip install roca-detect
$ gpg -a --export > /tmp/public && roca-detect /tmp/public
2017-10-17 14:10:33 [7869] INFO ### SUMMARY ####################
2017-10-17 14:10:33 [7869] INFO Records tested: 93
2017-10-17 14:10:33 [7869] INFO .. PEM certs: . . . 0
2017-10-17 14:10:33 [7869] INFO .. DER certs: . . . 0
2017-10-17 14:10:33 [7869] INFO .. RSA key files: . 0
2017-10-17 14:10:33 [7869] INFO .. PGP master keys: 1
2017-10-17 14:10:33 [7869] INFO .. PGP total keys: 102
2017-10-17 14:10:33 [7869] INFO .. SSH keys: . . . 0
2017-10-17 14:10:33 [7869] INFO .. APK keys: . . . 0
2017-10-17 14:10:33 [7869] INFO .. JSON keys: . . . 0
2017-10-17 14:10:33 [7869] INFO .. LDIFF certs: . . 0
2017-10-17 14:10:33 [7869] INFO .. JKS certs: . . . 0
2017-10-17 14:10:33 [7869] INFO .. PKCS7: . . . . . 0
2017-10-17 14:10:33 [7869] INFO No fingerprinted keys found (OK)
2017-10-17 14:10:33 [7869] INFO ################################А 2017 год продолжает преподносить нам дары по информационной безопасности каждый день:
Вчера мы оплакивали смерть WPA2 и видели SHA-1 сломанным.
Broadcom WiFi-эксплоит на одном миллиарде смартфонов (Broadpwn).
Уязвимость Bluetooth, который не будет исправлена в около 40% устройств.
И наконец, ваши учетные данные, кэшированные в поисковых системах.
etc
Последнее редактирование:
