這是 IT 安全災難週。襲擊事件曝光後裂縫這破壞了 Wi-Fi 的 WPA2 加密,這裡是« 樂家 »,這是一個加密漏洞,在數百萬台設備和軟體中存在了五年。這場不幸的根源:德國公司英飛凌科技股份公司。
該公司專注於半導體領域,生產智慧卡、身份驗證令牌或筆記型電腦加密處理器(可信任平台模組)等安全組件。這些元件通常具有一個或多個 RSA 非對稱加密金鑰。例如,對於筆記型電腦的加密處理器,這些金鑰用於硬碟的加密。
然而,一組研究人員發現,為了產生這些 RSA 金鑰,英飛凌自 2012 年以來一直在使用有缺陷的函式庫,這使得它們容易受到攻擊。 RSA 金鑰由公鑰和私鑰組成。 RSA 的整個安全性依賴於這樣一個事實:實際上不可能從第一個推導出第二個。但英飛凌按鍵的情況並非如此。
雖然理論上需要數百萬億年才能破解普通的 2048 位元 RSA 金鑰,但根據技術藝術– 只需 17 天即可完成英飛凌 2048 位元 RSA 金鑰的使用。顯然,如果您對 1000 個 Amazon Web Services 執行個體進行計算,則費用約為 40,000 美元。對於 1024 位元金鑰,時間減少到 45 分鐘,成本減少到 76 美元。因此,這不是一種可以輕易大規模實施的攻擊,而是可以在有針對性的行動中使用。
該漏洞有什麼影響?這取決於應用領域。在愛沙尼亞,該事件將影響該國向公民發放的超過 75 萬張身分證,其中包括用於產生電子簽名的 RSA 憑證。現在這些鑰匙都需要更換。身份驗證令牌的一些模型尤比奇也受到影響。
你需要給韌體打補丁
在筆記型電腦領域,研究人員進行的測試似乎表明,大約四分之一的具有 TPM 的型號容易受到攻擊。強烈建議檢查您的電腦是否受到影響,如有必要,請更新韌體。一些提供者已經將支援頁面放在網路上來指導用戶。對於以下情況尤其如此惠普,聯想,富士通等Chromebook。
就微軟而言,它已經推出了一個補丁,可以讓 Windows 用戶不再面臨作業系統中這些易受攻擊的金鑰的風險。該補丁與 10 月 10 日的補丁一起發布。對於個人來說,更新是自動化的,沒有什麼可做的。有關此補丁的完整詳細資訊可在安全警報中找到ADV170012。
研究人員總共確認了 76 萬個易受攻擊的 RSA 金鑰的存在,其中包括 TLS/HTTPS 憑證中的金鑰。但真實的數字大概是“高出兩三倍”。如果您對正在處理的非對稱加密金鑰有疑問,線上測試讓您快速了解真相。只需將公鑰複製並貼上到表單中即可在幾秒鐘內收到回應。
