В октябре 2017 года сводная группа специалистов, в которую вошли представители чешского университета Масариков, итальянского университета Ка’ Фоскари и компании Enigma Bridge, рассказала о серьезной криптографической проблеме, обнаруженной в TPM компании Infineon Technologies, выпущенных после 2012 года. По сути, обнаруженный исследователями баг ослабляет криптографию, из-за чего надежность RSA-ключей оказывается под большим вопросом.
Обнаружившие уязвимость специалисты дали ей название ROCA (Return of Coppersmith’s Attack), и проблема получила идентификатор CVE-2017-15361.
Trusted platform module (TPM) используются в бессчетном количестве устройств и гаджетов для генерации RSA-ключей для VPN, шифрования дисков, доступа к обычным аккаунтам, работы с сертификатами и так далее. В итоге проблема затронула множество устройств, включая девайсы HP, Acer, Fujitsu, Lenovo, LG, «Хромбуки», некоторые токены Yubikey, а также выпущенные в Эстонии идентификационные карты, оснащенные специальным чипом и позволяющие использовать криптографические подписи для некоторых операций.
Напомню, что ранее на этой неделе из-за проблемы ROCA эстонские власти отозвали сертификаты для 760 000 ID-карт, и теперь гражданам предстоит озаботиться их заменой.
Специалисты, изначально обнаружившие ROCA, писали, что применять проблему на практике, использовав ее для массовых атак, вряд ли получится, так как это невыгодно для злоумышленников с экономической точки зрения. Дело в том, что на воссоздание 1024-битного ключа, опираясь на открытый ключ, потребуется прядка 97 дней работы CPU, и это будет стоить 40-80 долларов, но для 2048-битного ключа понадобится уже 51400 дней и 20000-40000 долларов. Впрочем, взлом 512-битного ключа займет всего 2 часа и будет стоить лишь шесть центов.
Но теперь с этими расчетами решили поспорить независимые ИБ-специлисты Дэниэл Бернштейн (Daniel J. Bernstein) и Таня Лэндж (Tanja Lange). Эксперты опубликовали детальное исследование, согласно которому, эксплуатация ROCA на практике может оказаться дешевле и проще, чем предполагалось изначально.
Хотя Берншнейн и Лэндж попытались воспроизвести атаку, имея на руках лишь ограниченные данные, опубликованные первой группой исследователей, у них не просто все получилось, но они даже нашли способ ускорить нахождение 2048-битного ключа на 5-25%.
Кроме того, ранее ИБ-эксперты считали, что гипотетический взлом 760 000 эстонских ID-карт обойдется примерно в 60 млрд евро, то есть на взлом одного удостоверения личности потенциальным злоумышленникам пришлось бы потратить 80 000 евро. Но Берншнейн и Лэндж уверяют, что реальная стоимость подобной атаки будет на несколько порядков ниже. Так, исследователи отмечают, что в случае массовой подтасовки голосов на выборах вовсе не обязательно компрометировать все ID вообще. Даже 10% уже сыграют огромную роль.
Кроме того, стоимость взлома одной карты составит вовсе не 80 000 евро, а около 20 000 евро. И даже 20 000 – это стоимость, которая складывается в первую очередь из цены арендованного компьютерного оборудования. Разумеется, серьезно настроенный атакующий не станет арендовать компьютеры, он их купит. Берншнейн и Лэндж пишут, что на 20 000 евро злоумышленник сможет приобрести порядка 20 машин с восьмиядерными CPU, стоимость которых в итоге значительно «размоется» за годы, в ходе которых эти машины будут использоваться для вычислений. Также Берншнейн и Лэндж напоминают, что помимо CPU к вычислениям можно подключить GPU, FPGA и специализированные ASIC.
«Атакующие уже могли понять, как работает данная атака, еще опираясь на доклад 2016 года. Или они могли самостоятельно изучить ключи Infineon и обнаружить ту же информацию. Наиболее вероятное предположение — серьезные атакующие обнаружили уязвимость Infineon много лет назад и скрыто эксплуатируют ее с тех самых пор», — резюмируют Берншнейн и Лэндж.