Infineon, le chiavi crittografiche del TPM sono insicure

I chip di sicurezza prodotti dalla corporation tedesca usano una libreria che è risultata vulnerabile, e ora centinaia di migliaia di utenti potrebbero essere a rischio. Il problema era noto da mesi, le patch già disponibili anche per firmware UEFI
I chip di sicurezza prodotti dalla corporation tedesca usano una libreria che è risultata vulnerabile, e ora centinaia di migliaia di utenti potrebbero essere a rischio. Il problema era noto da mesi, le patch già disponibili anche per firmware UEFI

Arriva dalla Masaryk University nella Repubblica Ceca la notizia dell’ennesima vulnerabilità “sistemica”, una falla di sicurezza individuata all’interno di un’importante libreria crittografica che ora mette a rischio un gran numero di prodotti tecnologici e relativi utenti. A rischio soprattutto i sistemi con integrato un chip TPM ( Trusted Platform Module ), presunto bastione contro hacker e cyber-criminali che diviene per l’ennesima volta un rischio di sicurezza piuttosto che una difesa.

Infineon TPM

La falla scovata dai ricercatori , ribattezzata ROCA, riguarda in particolare attacchi pratici a base di fattorizzazione , dove un malintenzionato potrebbe estrapolare la chiave privata RSA a partire dalla chiave pubblica corrispondente se la coppia di chiavi è stata generata attraverso le librerie vulnerabili in oggetto.

La lunghezza minore o maggiore delle chiavi non fa alcuna differenza, spiegano i ricercatori, e il problema risulta essere presente nei chip di sicurezza realizzati dalla tedesca Infineon sin dal 2012 . Si parla, in particolare, di smartcard o carte di credito, token di sicurezza e i suddetti chip TPM integrati soprattutto sui portatili di Lenovo , HP e Fujitsu . Coinvolti risultano anche i colossi tecnologici come Microsoft e Google .

Un esempio pratico del rischio connesso al bug è quello dei dischi crittografati tramite BitLocker e che diventano potenzialmente vulnerabili, mentre i ricercatori rivelano di aver individuato coppie di chiavi vulnerabili in diversi scenari di utilizzo inclusi documenti di identità elettronici, tool per la firma digitale dei pacchetti software, chiavi TLS/HTTPS, PGP. Il numero delle coppie di chiavi vulnerabili accertato è di 760.000, mentre quello reale è probabilmente superiore di due o tre ordini di grandezza.

Che fare per mitigare il problema delle chiavi vulnerabili? Fortunatamente per gli utenti finali, la falla è stata scoperta otto mesi fa e se ne è data notizia solo ora per permettere alle aziende tecnologiche di correggere il problema nei rispettivi prodotti . Un utente di Windows 10 che abbia installato le ultime patch dovrebbe essere insomma al sicuro, mentre dal ROCA hanno messo a disposizione una serie di strumenti on-line e off-line per testare manualmente la possibile vulnerabilità di una coppia di chiavi RSA.

Alfonso Maruccia

fonte immagine

Link copiato negli appunti

Ti potrebbe interessare

17 10 2017
Link copiato negli appunti