Hunderttausende Infineon-Sicherheits-Chips weisen RSA-Schwachstelle auf

Viele Hardware-Hersteller verbauen Trusted Platform Modules (TPMs) von Infineon. In denen befindet sich bereits seit 2012 eine Lücke, die die Sicherheit von RSA aushebelt. Einige Hersteller haben Sicherheitsupdates veröffentlicht; andere stehen noch aus.

In Pocket speichern vorlesen Druckansicht 142 Kommentare lesen
Trusted Platform Module TPM 2.0 Infineon SLB9665TT20

(Bild: Infineon)

Lesezeit: 4 Min.
Von
  • Olivia von Westernhagen

Ein Forscherteam hat eine Schwachstelle in Sicherheits-Chips des Herstellers Infineon entdeckt, die zur Erzeugung unsicherer RSA-Keys führt. Diese ermöglicht mit einigem Rechenaufwand das Herausfinden des privaten Keys über den öffentlichen Key. Mögliche Konsequenzen sind Identitätsdiebstahl, das Entschlüsseln sensibler Daten oder das Einschleusen von Schadcode in digital siginierte Software. Die Lücke soll sich in Infineon-Chips ab dem Herstellungsjahr 2012 befinden.

Nach Angaben der tschechischen Forscher seien mittlerweile 760.000 angreifbare Keys bestätigt worden. Allerdings gingen sie davon aus, dass die tatsächliche Zahl um zwei bis drei Größenordnungen höher sein könnte. Trusted Platform Module (TPM)-Chips von Infineon stecken in zahlreichen Produkten verschiedener Hersteller wie Embedded-Systemen, Notebooks und anderen mobilen Endgeräten, in Smartcards und USB-Dongles zur hardwarebasierten Authentifizierung. Sie sind aber auch Bestandteil elektronischer Personalausweise und Reisepässe: Bereits im September dieses Jahres kontaktierten die Forscher die estnische Regierung und wiesen sie darauf hin, dass mehr als 750 000 Identity Cards von der Lücke betroffen seien.

Das Forscherteam hat eine Webseite eingerichtet, die das Prüfen der eigenen Keys – und damit das Prüfen auf Vorhandensein der Lücke im eigenen TPM – ermöglicht. Es kündigte an, die vollständigen Details zum Angriff erst ab dem 30. Oktober im Rahmen der ACM Conference on Computer and Communications Security (CCS) ACM Conference on Computer and Communications Security (CCS) zu veröffentlichen, um Nutzern und Herstellern ausreichend Zeit zu geben, auf die Lücke zu reagieren.

Microsoft veröffentlichte bereits im Rahmen des Windows-Patchdays am 10. Oktober Updates sowie einen Sicherheitshinweis zur TPM-Lücke. Zugleich wies das Unternehmen jedoch darauf hin, dass zusätzlich herstellerspezifische Firmware-Updates erforderlich seien, um die Lücke vollständig zu schließen. Das kumulative Windows-Sicherheitsupdate KB4043961 vom gestrigen Dienstag enthät ebenfalls ein TPM-Update (nicht näher beschriebenes kumulatives Windows-Sicherheitsupdate KB4043961).

Infineon gibt auf seiner Webseite an, mit betroffenen Herstellern zusammenzuarbeiten, um den Update-Prozess voranzutreiben. Mittlerweile haben HP, Fujitsu, Google, Lenovo, Toshiba und Yubico Listen mit betroffenen Produkten sowie teilweise auch Updates veröffentlicht. Updates anderer betroffener Hersteller wie Acer, LG, Samsung sowie einer Vielzahl unbekannterer Marken stehen noch aus. Sofern diese nicht nachziehen, schafft nur der Kauf eines neuen Geräts mit abgesichertem Chip Sicherheit.

Die Sicherheitslücke mit der Kennung CVE-2017-15361, die von ihren Entdeckern auf den Namen ROCA ("The Return of Coppersmith's Attack") getauft wurde, steckt in einer Software-Bibliothek auf den Chips (RSA Library version v1.02.013). Sie ermöglicht Angreifern, mittels Faktorisierung (Berechnung von Primfaktoren) an private Schlüssel gebräuchlicher Längen zu gelangen. Dazu benötigten sie laut Forscherteam lediglich den öffentlichen Key; physischer Zugriff auf das TPM sei nicht notwendig. Da der Angriff nicht auf einem fehlerhaften Zufallszahl-Algorithmus basiere, seien stets nicht nur einzelne, sondern sämtliche durch einen verwundbaren Chip generierten Schlüssel auf diese Weise knackbar.

Der durchschnittlich benötigte Zeit- und Rechenaufwand hängt von der zugrundeliegenden Schlüssellänge ab. Die Forscher nutzten für ihre Test-Angriffe einen Intel Xeon E5-2650 v3-Prozessor mit einer Taktfrequenz von drei Gigahertz. Ihren Angaben zufolge beanspruchte ein 512-Bit-Key zwei Stunden Prozessor-Zeit und kostete den Angreifer lediglich 0.06 US-Dollar. Bei den (wesentlich gebräuchlicheren) Schlüssellängen 1024 und 2048 Bit waren bereits 97 CPU-Tage beziehungsweise knapp 141 CPU-Jahre notwendig – Zeitspannen, die sich theoretisch durch die Nutzung mehrerer CPUs verkürzen ließen. Die ermittelten Kosten für einen 1024-Bit-Key seien mit 40 bis 80 Dollar noch überschaubar; das Knacken eines 2048-Bit-Schlüssels koste Angreifer allerdings schon 20.000 bis 40.000 Dollar.

[UPDATE 19.10.17, 12:42:] Übersetzungsfehler nach Leserhinweis korrigiert. (ovw)