امروز: دوشنبه، 29 آبان 1396

 نسخه ­ی 1.02.013 کتابخانه­ ی Infineon RSA جفت کلیدهای RSA را به درستی نمی­سازد. در نتیجه فضای کلید ( keyspace ) مورد نیاز یک جستجوی همه جانبه ( brute force)، کاهش می یابد به طوری که کلیدها به 2048 بیت تجزیه شده و کلید خصوصی RSA بدست می آید. مهاجم تنها باید به کلید عمومی قربانی که توسط این کتابخانه تولید شده دست یابد تا کلید خصوصی را محاسبه کند.

توجه کنید که تنها تولید کلید RSA تحت تاثیر قرار می گیرد و روی ECC اثری ندارد. کلیدهای RSA تولید شده توسط سایر دستگاه­ها یا کتابخانه­ها را می توان با اطمینان همراه با این کتابخانه استفاده کرد.

ماژول های بستر مطمئن (Trusted Platform Modules ) یا کارت های هوشمند از این کتابخانه ی RSA در محصولاتشان استفاده می کنند. Infineon لیست ناقصی از این تولیدکنندگان منتشر کرده است.

اگر مهاجمی قادر باشد که کلید خصوصی RSA را از روی کلید عمومی قربانی بدست آورد که توسط این کتابخانه تولید شده، می توان چندین کار انجام داد:

  • به روزرسانی: وجود بروزرسانی لخت افزار (firmware ) را با سازنده دستگاه بررسی کنید. لیست ناقصی از این سازندگان در ادامه آمده است.
  • تعویض دستگاه
  • تولید جفت کلید جدید RSA یا ECC : کلیدهای ECC تحت تاثیر این آسیب پذیری قرار نمی گیرند. کاربرها باید تولید جفت کلید جدید ECC را در نظر گیرند تا آن را جایگزین جفت کلید RSA آسیب پذیر کنند.

اگر کلید RSA مورد نیاز باشد، کاربران باید جفت کلید RSA را با استفاده از متدهای مختلف تولید کنند (از جمله OpenSSL) و سپس می توان از جفت کلید RSA جدید امن در دستگاه قدیمی استفاده کرد. فقط تولید کلید RSA تحت تاثیر قرار می گیرد نه استفاده از کلیدهای امن.

کلیدهای 4096 بیتی RSA که توسط این کتابخانه تولید می شوند در زمان انتشار این خبر، قابل تقسیم شناخته نشدند اما کاربران نباید به این ویژگی برای آینده ای طولانی مدت تکیه کنند.

اطلاعات سازندگان

سازنده

وضعیت

تاریخ اعلام

تاریخ به روزرسانی

Fujitsu

تحت تاثیر

16 Oct 2017

16 Oct 2017

Google


16 Oct 2017

16 Oct 2017

Hewlett Packard Enterprise


16 Oct 2017

16 Oct 2017

Infineon Technologies AG



16 Oct 2017

Lenovo


16 Oct 2017

16 Oct 2017

Microsoft Corporation


16 Oct 2017

16 Oct 2017

WinMagic


16 Oct 2017

16 Oct 2017

Yubico


16 Oct 2017

16 Oct 2017

Dell


19 Oct 2017

19 Oct 2017

Gemalto AV


18 Oct 2017

18 Oct 2017

منبع خبر: .kb.cert.org