RSA keys generated by Infineon chips are vulnerable to hackers

Security-all

Na, még ez is: https://www.engadget.com/2017/10/16/encryption-companies-rely-on-has-se…

"The researchers say that key lengths of 1024 and 2048 bits are able to be figured out with little effort using the public portion of the key."

"Researchers at Masaryk University in the Czech Republic uncovered a major security vulnerability in RSA keys generated by Infineon Technologies-produced chips. These chips are used in products manufactured by Acer, ASUS, Fujitsu, HP, Lenovo, LG, Samsung, Toshiba and Chromebook vendors, reports Bleeping Computer and the RSA keys generated by Infineon's chips are used in government-issued identity documents, during software signing, in authentication tokens, with message protection like PGP, in programmable smartcards and during secure browsing."

  • 2288 megtekintés

( xc0m v | 2017. 10. 18., sze – 09:29 )

Valaki elmondaná, hogy ez egy hétköznapi felhasználó számára mit jelent?

a yubico saját közleménye szerint ez a funkciója a yubukeynek "úgyis csak keveseket érint"
https://www.yubico.com/2017/10/infineon-rsa-key-generation-issue/
merthogy:

FIDO U2F, OTP, and OATH functions of the YubiKey 4 platform are not affected. The YubiKey NEO, FIDO U2F Security Key and YubiHSM are not impacted, nor are the deprecated products YubiKey standard and Yubikey Edge. Externally generated RSA keys are not affected.

Yubico estimates that approximately 2% of YubiKey customers utilize the functionality affected by this issue.

( gee v | 2017. 10. 19., cs – 13:19 )

Szóval ez csak hardvare által generált kulcsokat érint?

Ha van szoftver által generált PGP kulcsom, ssh kulcsom, TLS / SSL tanúsítványom, akkor azok nem érintettek.

Azon gondolkozom, mik lehetnek érintettek, hol használhatok olyan kulcsokat, amikről esetleg nem is tudok.
Pl. bankkártya, SIM kártya, smart card a számítógépes bejelentkezéshez, beléptető rendszer?
Ha használnám a HP számítógépem TPM vagy micsoda nevű részét, akkor az érintett lenne, ha jól értem.
Szóval ha pl. ezt használnám a hdd titkosítására, akkor az törhető lenne? Vagy ahhoz nem is tartozik publikus kulcs?

Ha van szoftver által generált PGP kulcsom, ssh kulcsom, TLS / SSL tanúsítványom, akkor azok nem érintettek.

Ezt én is így értelmeztem az eddig olvasottal alapján.

Ami érintett, az a hardver token/kártya által generált RSA kulcs.
Ilyet (a környezetemben) elég ritkán használnak, de pl az új személyi kártyán lévő digitális aláírásra használt kulcspár is ilyen. Azt mondjuk nem tudom, hogy maga a kártya érintett-e ebben a mókában. De érdekelne :)

--
zrubi.hu

Szerintem a sima egyszerű OTP tokenek egyátalán nem használnak semmilyen kulcspárt.
Ezeknél az RSA max a gyártó cég neve.

(persze biztos van olyan kütyü is, amit OTP-t is ad, és RSA kulcspárokat is képes tárolni, de ahhoz be kell tudni valahogy dugni a gépbe. pl USB.)

De javíts ki, ha tévedek.

--
zrubi.hu

Nem ismerem a technológiát.
Mivel RSA tokennek hívják pl. azt a cuccot, amivel a céges VPN-re lehet kapcsolódni, feltételeztem, hogy azért, mert valami RSA megoldással működik.

Pl. azt képzeltem el, hogy az eszközben van egy privát RSA kulcs, a publikus kulcsot ismeri a PVN másik végpontja, és amikor bejelentkezéshez kérek egy kódot, akkor valami azonosítóból, sorszámból, időből képez egy kódot, és azt kódolja a titkos kulcsával, amit aztán a másik oldal a publikussal ellenőriz.

Persze simán lehet, hogy túlkombinálom. Ahogy mondom, nem tudom, hogy működnek ezek a kulcs generáló cuccok.

Egyébként nem is OTP ez, mert a generált kódot csak egy ideig lehet használni.