原标题:英飞凌TPM晶片爆安全漏洞,Google、微软忙修补
示意图,与新闻事件无关。
位于捷克的密码暨安全研究中心(Centre△for△Research△on△Cryptography△and△Security,CRoCS)本周揭露了德国半导体业者英飞凌(Infineon)所生产的TPM(Trusted△Platform△Module,可信赖平台模组)含有安全漏洞,将允许骇客计算出私钥,并用来执行各种攻击。
TPM为一安全加密处理器的标准,用来储存诸如密码、凭证与加密金钥等重要资料,以专用微控制器的形式于装置上嵌入加密金钥来保障硬件的安全,它通常被安装在笔电、路由器或IoT装置的主机板上。
CRoCS发现,英飞凌的TPM韧体含有一演算法漏洞,使得它会产生脆弱的RSA金钥,一旦骇客得知公钥,就能计算出私钥,且该漏洞影响英飞凌自2012年以来所推出的TPM晶片。有鉴于此类威胁与形容密码攻击的Coppersmith's△attack有关,使得研究人员将它称之为The△Return△of△Coppersmith's△Attack(ROCA)。
计算私钥需要运算资源,CRoCS估计,若要破解512位元长度的RSA金钥只需花费CPU两小时,成本只要0.6美元,而破解1024位元则需要97天,成本介于40到80美元之间,破解2048位元的RSA金钥则需140.8年的CPU,成本最高,需要花费2万至4万美元。
CRoCS以AWS执行攻击为例,显示计算出1024位元RSA私钥的价格为76美元,算出2048位元私钥则需4万美元。
取得私钥的骇客能够伪装成合法用户、解密机密讯息,或是伪造软件签章,波及了众多的硬件装置业者,除了英飞凌、Google、微软、联想、HP与富士通(Fujitsu)皆已展开修补之外,爱沙尼亚(Estonia)的身份证系统也遭到池鱼之殃,估计有75万名民众的身份资料有外泄之虞。
其中,Google列出了受到相关TPM漏洞波及的Chrome装置,显示Chrome笔电或桌机几乎无一幸免,名单上有上百款型号。不过,Google认为,由于计算私钥的所费不貲,推测骇客的攻击应以目标式为主,不容易酿成大规模的攻击行动。微软也已于今年10月的例行性更新中修补了相关漏洞。
至于爱沙尼亚政府则说,只有在2014年10月之后发行的75万张身份证可能被骇,因为更早之前的身份证采用不同的晶片。为了确保民众的身份隐私,该国政府严加管控了了身份证公钥资料库的存取权限。
相关:
图片来源: Microsoft 微软在西雅图总部的后院帮员工打造了3座树屋,其中两座已经完工的树屋已可用来当作会议室,而第三座将是一个有庇护的休息区,也将于今年完工。微软期望融入大自然的工作环境可激发员工的灵感、创
我酷新闻网记者蓝立晴/综合报道微软(Microsoft)的语音个人助理Cortana可在Windows10上帮上使用者不少忙,例如微软日前推出的CortanaCollection新功能可察觉并记住使用者的浏览习惯,并且帮忙建立如书籍、电视节目、
微软Windows的动态资料交换协议DDE遭骇客滥用,新攻击手法兴起
示意图,与新闻事件无关。 思科(Cisco)旗下的资安团队Talos近日在调查一起假冒美国证券交易委员会(SEC)进行鱼叉式网钓攻击的骇客行动时发现,骇客利用了微软Windows中的动态资料交换(Dynamic△Data△Exchange
向来在云端上较劲的微软及Amazon△Web△Service△(AWS) 竟然也合作了。两家公司周四宣布名为Gluon的深度学习函式库,可让各种开发人员开发、训练机器学习模型,及部署到云端、前端装置及app上。?开发人员要打造神经网
台湾微软资讯安全暨风险管理经理林宏嘉 在10月3日远东银行通报资安事件爆发之后,微软是第一批进驻参与紧急处理的软件厂商之一,尽管囿于保密协议无法透露处理细节,不过,台湾微软资讯安全暨风险管理经理林宏嘉表