微軟、谷歌、惠普、聯(lián)想和富士通，幾大科技巨頭警告客戶：德國(guó)半導(dǎo)體制造商英飛凌科技生產(chǎn)的某些芯片，受加密相關(guān)嚴(yán)重漏洞影響。

　　可信平臺(tái)漏洞可使攻擊者獲取RSA私鑰

　　該漏洞編號(hào)為CVE-2017-15361，與可信平臺(tái)模塊(TPM)相關(guān)。TPM是一個(gè)國(guó)際標(biāo)準(zhǔn)，用于保護(hù)計(jì)算設(shè)備中的加密過(guò)程，安全存儲(chǔ)密鑰、口令、證書(shū)和其他敏感數(shù)據(jù)。為保護(hù)硬件安全，一些英飛凌微控制器中實(shí)現(xiàn)了TPM。

　　該問(wèn)題在于，TPM產(chǎn)生的RSA密鑰(比如出于磁盤(pán)加密目的)，可因所謂“快速質(zhì)數(shù)”技術(shù)的使用而被破解。“快速質(zhì)數(shù)”是一種幫助加速RSA公/私鑰對(duì)產(chǎn)生的算法。

　　捷克馬薩里克大學(xué)、英國(guó) Enigma Bridge 公司，以及意大利威尼斯東方大學(xué)的一組研究人員，發(fā)現(xiàn)了該問(wèn)題。

　　據(jù)介紹，該漏洞可致知曉公鑰的攻擊者獲取到RSA私鑰。此類攻擊可遠(yuǎn)程進(jìn)行，漏洞芯片產(chǎn)生的所有的密鑰都受影響。研究人員稱：1024比特的RSA密鑰，用一片老式英特爾Xeon處理器，花40-80美元，在97個(gè)CPU日之內(nèi)即可破解;而2048比特的密鑰，要用 140 CPU 年，且花費(fèi)在2萬(wàn)到4萬(wàn)美元之間。英飛凌估測(cè)，如果使用600個(gè)CPU，2048比特密鑰可在1個(gè)月之內(nèi)被破解。

　　私鑰可被用于冒充合法擁有者、解密敏感消息、偽造簽名(比如軟件發(fā)布)，還有其他相關(guān)攻擊。

　　當(dāng)然，漏洞的切實(shí)后果，取決于使用場(chǎng)景、公鑰可用性和所用密鑰長(zhǎng)度。研究員們發(fā)現(xiàn)并分析了多個(gè)領(lǐng)域中的脆弱密鑰，包括電子公民文件、身份驗(yàn)證令牌、可信啟動(dòng)設(shè)備、軟件包簽名、TLS/HTTPS密鑰和PGP。目前已確認(rèn)的脆弱密鑰數(shù)量約有76萬(wàn)個(gè)，但實(shí)際脆弱密鑰數(shù)量可能多出2到3個(gè)數(shù)量級(jí)。

　　漏洞的完整技術(shù)細(xì)節(jié)，將在11月初舉行的ACM計(jì)算機(jī)與通信安全大會(huì)(CCS)上公布。

　　受影響科技巨頭發(fā)布安全公告

　　該漏洞在1月底被發(fā)現(xiàn)，2月報(bào)告給了英飛凌。該公司一直在與受影響硬件原始設(shè)備制造商(OEM)和PC制造商合作解決該問(wèn)題。

　　英飛凌發(fā)布了一個(gè)固件更新，為該漏洞打上補(bǔ)丁。而微軟、谷歌、惠普、聯(lián)想和富士通，則已發(fā)布安全公告提請(qǐng)客戶注意。

　　微軟稱，尚未發(fā)現(xiàn)利用該漏洞的任何攻擊，但已發(fā)布Windows安全更新，并警告用戶：TPM固件更新仍需安裝，且之前創(chuàng)建的密鑰都應(yīng)重新發(fā)布。

　　惠普也發(fā)布了諸多更新，包括其多款筆記本電腦、移動(dòng)工作站、瘦客戶端、商用臺(tái)式機(jī)、零售系統(tǒng)和工作站臺(tái)式機(jī)。受影響型號(hào)有：Chromebook、Elite、EliteBook、mt和t瘦客戶端、Pro、ProBook、Stream、ZBook、ZHAN、260 G1/G2、280 G1/G2、406 G1/G2、Elite Slice、EliteDesk、EliteOne、ElitePOS、MP9、ProDesk、ProOne、RP9、Z工作站、Envy、Spectre和OMEN X。

　　聯(lián)想稱其多款產(chǎn)品不受該漏洞影響。受影響設(shè)備僅有各型ThinkCentre、ThinkPad和ThinkStation。

　　谷歌則公布了受影響Chromebook列表。該公司稱， Chrome OS 依賴TPM產(chǎn)生的RSA密鑰實(shí)現(xiàn)幾個(gè)功能，包括延緩暴力破解攻擊、硬件支持的密鑰和證書(shū)，以及 Verified Access 認(rèn)證過(guò)程。

　　富士通發(fā)布了多款工具以解決其受影響產(chǎn)品中的漏洞，包括OEM主板、ESPRIMO臺(tái)式機(jī)、FUTRO瘦客戶端、CELSIUS工作站、LIFEBOOK筆記本電腦、STYLISTIC平板和PRIMERGY服務(wù)器。

　　英飛凌表示，WinMagic全盤(pán)加密軟件同樣受到了影響，但該軟件目前尚無(wú)任何通告