机房360首页
  1. 武松娱乐
  2. 云计算
  3. 大数据
  4. IDC
  5. UPS
  6. 机房制冷
  7. 集中监控
  8. 发电机
  9. 防雷与接地
  10. 综合布线
  11. 机柜
  12. 服务器
  13. 存储
  14. 虚拟化
  15. CIO&信息化
  16. 文库
  17. 规范
  18. 机房产品
  19. 外包
  20. 更多
    1. 新闻资讯
    2. 绿色IT
    3. 网络&安全
    4. 武松娱乐
    5. 机房工程
    6. 机房节能
    7. 机房培训
    8. 产品报价
    9. 品牌故事
    10. UU漫画
    11. 俱乐部
    12. 联盟
    13. 专题
当前位置:首页 » 安全资讯 » ROCA RSA漏洞可导致各种设备密钥泄漏

ROCA RSA漏洞可导致各种设备密钥泄漏

来源:TechTarget中国 作者:DJ编辑 更新时间:2017-11-9 15:18:53
摘要:研究人员发现RSA加密部署中存在一个漏洞,该漏洞可能使攻击者窃取易受攻击设备的密钥。
  研究人员发现RSA加密部署中存在一个漏洞,该漏洞可能使攻击者窃取易受攻击设备的密钥。   来自捷克共和国Masaryk大学、英国网络安全管理公司Enigma Bridge和意大利Ca' Foscari大学的研究小组将他们发现的这个漏洞称为Return of Coppersmith's Attack(ROCA,铜匠的回击),并表示该RSA算法漏洞“存在于Infineon Technologies AG生产的各种密码芯片中使用的加密库的RSA密钥对生成过程中”。   研究人员表示,这个ROCA RSA漏洞(CVE-2017-15361)影响着“至少自2012年以来”使用Infineon芯片的主流设备。   “该算法漏洞的特点是生成的RSA素数的特定结构,这使得分解常用密钥长度(包括1024和2048位)成为可能,”研究人员指出,“只需要知道公钥即可,而不需要对易受攻击设备进行物理访问。这个漏洞并不依赖于随机数生成器的漏洞-易受攻击芯片生成的所有RSA密钥都会受到影响。”   根据研究人员表示,利用该ROCA RSA漏洞的成本取决于密钥的长度,512位RSA密钥需要2个CPU小时或者6美分,1024位RSA密钥需要97个CPU小时或者40到80美元,而2048位RSA密钥则“实际可能”需要140.8个CPU年,或者2万到4万美元。不过,目前4096位RSA密钥实际上不可分解,但如果攻击得到改进,可能会变成可分解。   ROCA RSA漏洞的影响   该研究团队发布了工具来测试易受ROCA RSA漏洞影响的设备,截至此文章发表前,专家发现来自谷歌、惠普和联想等供应商的一些可信平台模块或智能卡面临风险,某些Yubikey设备可能已经导致生成有缺陷的SSH和GPG密钥。   虽然ROCS RSA漏洞的风险各不相同,并取决于攻击者是否知道受害者的公钥,研究人员称:“私钥可能被滥用来冒充合法持有者、解密敏感信息、伪造签名(例如软件发布)和其他相关攻击。”   Bitglass公司首席技术官Anurag Kahol表示,加密是数据保护的强大工具,但只有正确部署才可发挥其作用。   “在这种情况下,私钥可从公钥中派生出来,部署过程存在缺陷,”Kahol称,“对于选择加密数据的企业和政府而言,密钥管理(安全地存储密钥、主密钥和别名转到该主密钥)对数据保护非常重要。”   微软、谷歌、惠普、联想和富士通等主要供应商已经发布软件更新来降低ROCA RSA漏洞风险。Yubico称,该漏洞影响着2%使用“PIV智能卡和 YubiKey 4平台的OpenPGP功能”的客户,该公司已经为Yubikey 4个版本(4.2.6到4.3.4)用户提供缓解技术。   Synopsys公司安全顾问Jesse Victors称,ROCA RSA漏洞更加证明加密的脆弱性。   “到今年,RSA已经出现40年,我们是仍然难以正确使用和部署它。在1977年RSA算法被认为速度快但不安全,必须谨慎部署以避免攻击和信息泄露,”Vicors称,“目前已经有很多方案来解决其缺陷,我认为这是RSA设计和标准复杂性导致的漏洞。然而,RSA是我们最好的公钥加密方案之一,它不会很快消失。”   责任编辑:DJ编辑
机房360微信公众号订阅
扫一扫,订阅更多武松娱乐资讯
本文地址:http://www.jifang360.com/news/2017119/n065299864.html 网友评论: 阅读次数:
版权声明:凡本站原创文章,未经授权,禁止转载,否则追究法律责任。
相关评论
正在加载评论列表...
评论表单加载中...
  1. 我要分享
推荐图片
    智由新生  融创发展智由新生 融创发展
    当前,全球范围内正在酝酿新一轮[详细]
    T11/BIE001——2017《武松娱乐用水技T11/BIE001——2017《武松娱乐用水技
    由北京电子学会计算机委员会组织[详细]
    洞悉电子数据的司法价值洞悉电子数据的司法价值
    中经名气告诉您法治时代下的电子[详细]
    产品差异化战略 提升核心竞争力产品差异化战略 提升核心竞争力
    随着云计算、大数据时代的到来,[详细]
    施耐德电气Amico阿米哥精密空调深度施耐德电气Amico阿米哥精密空调深度
    施耐德电气的研发设计人员认为空[详细]
    腾讯青浦武松娱乐 谱写完美的“冰与腾讯青浦武松娱乐 谱写完美的“冰与
    6月15日,以“云集响应,赢粮景[详细]
武松老虎机