สมาร์ทการ์ด ตัวประมวลผลการเข้ารหัส โทเค็นการตรวจสอบสิทธิ์... จุดบกพร่องในไลบรารีการเข้ารหัสทำให้เกิดคีย์ RSA ที่มีช่องโหว่ในอุปกรณ์จำนวนมาก
สัปดาห์แห่งหายนะด้านความปลอดภัยด้านไอที หลังการโจมตีถูกเปิดเผยแตกซึ่งบ่อนทำลายการเข้ารหัส WPA2 ของ Wi-Fi นี่แหละ« โรก้า »ซึ่งเป็นช่องโหว่ในการเข้ารหัสที่มีอยู่ในอุปกรณ์และซอฟต์แวร์หลายล้านเครื่องเป็นเวลาห้าปี แหล่งที่มาของความโชคร้ายนี้: บริษัท Infineon Technologies AG ของเยอรมัน
โดยเชี่ยวชาญด้านเซมิคอนดักเตอร์ โดยผลิตส่วนประกอบด้านความปลอดภัย เช่น สมาร์ทการ์ด โทเค็นการรับรองความถูกต้อง หรือโปรเซสเซอร์เข้ารหัสสำหรับแล็ปท็อปพีซี (Trusted Platform Module) โดยทั่วไปส่วนประกอบเหล่านี้จะมีคีย์เข้ารหัส RSA แบบอสมมาตรตั้งแต่หนึ่งคีย์ขึ้นไป ในกรณีของตัวประมวลผลการเข้ารหัสของแล็ปท็อปพีซี คีย์เหล่านี้จะใช้สำหรับการเข้ารหัสฮาร์ดไดรฟ์
อย่างไรก็ตาม กลุ่มนักวิจัยค้นพบว่าในการสร้างคีย์ RSA เหล่านี้ Infineon ได้ใช้ไลบรารีแบบ buggy มาตั้งแต่ปี 2012 ซึ่งทำให้คีย์เหล่านี้มีช่องโหว่ คีย์ RSA ประกอบด้วยคีย์สาธารณะและคีย์ส่วนตัว การรักษาความปลอดภัยทั้งหมดของ RSA ขึ้นอยู่กับข้อเท็จจริงที่ว่าแทบจะเป็นไปไม่ได้เลยที่จะอนุมานวินาทีจากครั้งแรก แต่นี่ไม่ใช่กรณีของคีย์ Infineon
แม้ว่าในทางทฤษฎีจะต้องใช้เวลาหลายล้านพันล้านปีในการทำลายคีย์ RSA 2048 บิตปกติ แต่ก็เป็นไปตามที่กล่าวไว้อาท เทคนิคิกา– ใช้เวลาเพียง 17 วันในการสิ้นสุดคีย์ RSA 2048 บิตจาก Infineon แน่นอนว่าคุณต้องทำการคำนวณบนอินสแตนซ์ Amazon Web Services หนึ่งพันอินสแตนซ์ ซึ่งมีมูลค่าประมาณ 40,000 ดอลลาร์ สำหรับคีย์ 1024 บิต เวลาจะลดลงเหลือ 45 นาที และมีค่าใช้จ่าย 76 ดอลลาร์ ดังนั้นจึงไม่ใช่การโจมตีที่สามารถดำเนินการในวงกว้างได้อย่างง่ายดาย แต่สามารถนำไปใช้ในบริบทของการปฏิบัติการแบบกำหนดเป้าหมายได้
ช่องโหว่นี้มีผลกระทบอย่างไร? ขึ้นอยู่กับภาคส่วนการใช้งาน ในเอสโตเนีย อาจส่งผลกระทบต่อบัตรประจำตัวมากกว่า 750,000 ใบที่รัฐออกให้กับพลเมือง และรวมถึงใบรับรอง RSA เพื่อสร้างลายเซ็นอิเล็กทรอนิกส์ ตอนนี้จำเป็นต้องเปลี่ยนคีย์เหล่านี้ทั้งหมด โทเค็นการรับรองความถูกต้องบางรุ่นยูบิกี้ก็ได้รับผลกระทบเช่นกัน
คุณต้องแก้ไขเฟิร์มแวร์
ในด้านแล็ปท็อปพีซี การทดสอบที่ดำเนินการโดยนักวิจัยดูเหมือนจะระบุว่าประมาณหนึ่งในสี่ของรุ่นที่มี TPM นั้นมีความเสี่ยง ขอแนะนำอย่างยิ่งให้ตรวจสอบว่าคอมพิวเตอร์ของคุณได้รับผลกระทบหรือไม่ และหากจำเป็น ให้อัปเดตเฟิร์มแวร์ ผู้ให้บริการบางรายได้ใส่หน้าสนับสนุนออนไลน์ไว้เพื่อแนะนำผู้ใช้แล้ว นี่เป็นกรณีเฉพาะสำหรับเอชพี-เลอโนโว-ฟูจิตสึetโครมบุ๊ก-
ในส่วนของ Microsoft มีแพตช์ที่ช่วยให้ผู้ใช้ Windows ไม่ต้องเสี่ยงต่อคีย์ที่มีช่องโหว่เหล่านี้ในระบบปฏิบัติการอีกต่อไป แพตช์นี้เปิดตัวพร้อมกับแพตช์วันที่ 10 ตุลาคม สำหรับบุคคลธรรมดาที่การอัปเดตเป็นแบบอัตโนมัติ ก็ไม่ต้องทำอะไร รายละเอียดทั้งหมดเกี่ยวกับแพตช์นี้มีอยู่ในการแจ้งเตือนด้านความปลอดภัยADV170012-
โดยรวมแล้ว นักวิจัยสามารถยืนยันการมีอยู่ของคีย์ RSA ที่มีช่องโหว่จำนวน 760,000 รายการ รวมถึงในใบรับรอง TLS/HTTPS แต่จำนวนจริงน่าจะเป็น“สูงขึ้นสองหรือสามเท่า”- หากคุณมีข้อสงสัยเกี่ยวกับคีย์เข้ารหัสที่ไม่สมมาตรที่คุณจัดการอยู่ กการทดสอบออนไลน์ช่วยให้คุณไปถึงจุดต่ำสุดได้อย่างรวดเร็ว เพียงคัดลอกและวางกุญแจสาธารณะลงในแบบฟอร์มเพื่อรับการตอบกลับภายในไม่กี่วินาที
🔴 เพื่อไม่พลาดข่าวสาร 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
