ROCA - Return of the Coppersmith Attack

Anfang 2017 entdeckten Forscher der Masaryk Universität Brno eine Schwäche im Algorithmus zur RSA Schlüsselgenerierung in bestimmten Hardware Chips der Infineon Technologies AG.

=

Die algorithmische Schwäche ist charakterisiert durch eine spezifische Struktur der generierten RSA Primzahlen, die eine Faktorisierung - also Errechnung der privaten Schlüssel praktisch möglich macht. Dazu ist lediglich die Kenntnis des öffentlichen Schlüssels notwendig.

=

Der Zeitaufwand und die Kosten für die Faktorisierung bei unterschiedlichen Schlüssellängen (Intel E5-2650 v3@3GHz Q2/2014) betragen:

  • 512 bit RSA keys - 2 CPU hours ($0.06)
  • 1024 bit RSA keys – 97 CPU days ($40-$80)
  • 2048 bit RSA keys – 140.8 CPU years, ($20,000 - $40,000)

=

Betroffene Chipkarten

Neben verschiedenen e-Government Karten, Estland, Slowakei, Spanien und TPMs - Trusted Plattform Module - sind auch SmartCards davon betroffen. Bisher identifizierte Karten sind: 

  • Gemalto IDPrime .NET: RSA 512, 1024, 2048
  • ATOS CardOS 5.x, ausschließlich Schlüssellängen: RSA 2048, 4096 

=

Test der öffentlichen Schlüssel

Die Struktur der Primzahlen erlaubt eine schnelle Erkennung betroffener Schlüssel. Diese Eigenschaft macht es für Angreifer einfacher, für den Angriff anfällige Schlüssel zu identifizieren. Aber das erlaubt es auch jedermann die eigenen Schlüssel zu testen.

https://keychest.net/roca

=

Möglichkeiten dem Problem zu begegnen.

Zu beachten ist, dass die Generierung von RSA-Schlüssel betroffen ist, nicht hingegen die Verwendung zur Signatur oder Verschlüsselung. Werden betroffene Chipkarten mit sicheren Schlüsseln ausgestattet, so ist ein sicherer Betrieb wie bisher möglich!

Beachten Sie, dass betroffene Zertifikate unbedingt bei der Certification Authority widerrufen werden müssen - ein schlichte Nichtverwendung ist nicht ausreichend!

  1. Untersuchen Sie, wie weit Sie betroffen sind. Testen Sie ihre bisherigen, ausgestellten Zertifikate.
  2. Bestimmen Sie Nutzergruppen, die zuerst ein Update erhalten müssen.
  3. Bestimmen Sie Ihre Möglichkeiten für den Widerruf und die Neuausstellung mit sicheren Schlüsseln

=

Die Möglichkeiten der sicheren Neuausstellung wären, je nach Situation:

  1. Softwareupdate bei der eingesetzten Middleware respektive der Karten.
  2. Update der CA Templates und Generierung sicherer Schlüssel mit nicht betroffenen Schlüssellängen
  3. Update des Ausstellprozesses und Generierung sicherer Schlüssel ausserhalb des Chips
  4. Update der CA Templates und ev. weiterer Programme durch Verwendung anderer, nicht betroffener Algorithmen (ECC - Algorithmen der elliptic curve cryptography)
  5. Austausch der Karten und Einsatz nicht betroffener Chipkarten.

=