Infineon, le chiavi crittografiche del TPM sono insicure

I chip di sicurezza prodotti dalla corporation tedesca usano una libreria che è risultata vulnerabile, e ora centinaia di migliaia di utenti potrebbero essere a rischio. Il problema era noto da mesi, le patch già disponibili anche per firmware UEFI

Roma – Arriva dalla Masaryk University nella Repubblica Ceca la notizia dell’ennesima vulnerabilità “sistemica”, una falla di sicurezza individuata all’interno di un’importante libreria crittografica che ora mette a rischio un gran numero di prodotti tecnologici e relativi utenti. A rischio soprattutto i sistemi con integrato un chip TPM ( Trusted Platform Module ), presunto bastione contro hacker e cyber-criminali che diviene per l’ennesima volta un rischio di sicurezza piuttosto che una difesa.

Infineon TPM

La falla scovata dai ricercatori , ribattezzata ROCA, riguarda in particolare attacchi pratici a base di fattorizzazione , dove un malintenzionato potrebbe estrapolare la chiave privata RSA a partire dalla chiave pubblica corrispondente se la coppia di chiavi è stata generata attraverso le librerie vulnerabili in oggetto.

La lunghezza minore o maggiore delle chiavi non fa alcuna differenza, spiegano i ricercatori, e il problema risulta essere presente nei chip di sicurezza realizzati dalla tedesca Infineon sin dal 2012 . Si parla, in particolare, di smartcard o carte di credito, token di sicurezza e i suddetti chip TPM integrati soprattutto sui portatili di Lenovo , HP e Fujitsu . Coinvolti risultano anche i colossi tecnologici come Microsoft e Google .

Un esempio pratico del rischio connesso al bug è quello dei dischi crittografati tramite BitLocker e che diventano potenzialmente vulnerabili, mentre i ricercatori rivelano di aver individuato coppie di chiavi vulnerabili in diversi scenari di utilizzo inclusi documenti di identità elettronici, tool per la firma digitale dei pacchetti software, chiavi TLS/HTTPS, PGP. Il numero delle coppie di chiavi vulnerabili accertato è di 760.000, mentre quello reale è probabilmente superiore di due o tre ordini di grandezza.

Che fare per mitigare il problema delle chiavi vulnerabili? Fortunatamente per gli utenti finali, la falla è stata scoperta otto mesi fa e se ne è data notizia solo ora per permettere alle aziende tecnologiche di correggere il problema nei rispettivi prodotti . Un utente di Windows 10 che abbia installato le ultime patch dovrebbe essere insomma al sicuro, mentre dal ROCA hanno messo a disposizione una serie di strumenti on-line e off-line per testare manualmente la possibile vulnerabilità di una coppia di chiavi RSA.

Alfonso Maruccia

fonte immagine

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

Chiudi i commenti