Krypto-GAU: Infineon versorgt die Welt seit 2012 mit fehlerhaften TPMs

Tpm, TPM 2.0, Trusted Platform Module, Trusted Pattform Bildquelle: Infineon
Der deutsche Chiphersteller Infineon sorgt aktuell für einen massiven Störfall in der IT-Sicherheit. Herausgekommen ist das Problem, als eine Schwachstelle in den digitalen Personalausweisen Estlands einer genaueren Untersuchung unterzogen worden ist.
In dem baltischen Staat stellte sich heraus, dass die ID-Smartcards seit dem Jahr 2014 fehlerhaft sind. Bei 750.000 Karten, die seitdem ausgegeben wurden, lassen sich die Sicherheitsmaßnahmen knacken. Das bedeutet hier unter anderem, dass digitale Signaturen schlicht nicht mehr fälschungssicher sind. Und auch Daten, die mit den Ausweisen verschlüsselt und beispielsweise an Behörden übermittelt wurden, lassen sich so in den Klartext zurückübersetzen.

Während die estnische Regierung auf den Vorfall reagierte und zumindest erst einmal die Datenbank mit öffentlichen Schlüsseln der Bürger offline nahm, gingen die Untersuchungen weiter. Und in den letzten Tagen poppte eine Sicherheitswarnung nach der anderen auf. Es stellte sich heraus, dass Infineon eine fehlerhafte Krypto-Bibliothek fest in seinen TPM-Modulen verdrahtet hat, so dass nun quasi alle Geräte mit diesem Chip als unsicher angesehen werden müssen.

Die Schwierigkeit liegt hier darin, dass es ausgerechnet eine eigentlich ziemlich sichere Public-Key-Infrastructure (PKI) auf Basis des RSA-Standards trifft. Der Bug sorgt hier dafür, dass der private Schlüssel des Nutzers aus dem öffentlichen Schlüssel rekonstruiert werden kann. Somit ist faktisch die gesamte Krypto-Architektur auf Grundlage dieser Implementierung anfällig.

Bessere Frage: Was ist nicht betroffen?

Und der fehlerhafte Algorithmus steckt ausgerechnet in den von Infineon hergestellten Trusted Platform Module (TPM)-Chips. Diese kommen in einer Vielzahl von Systemen unterschiedlichster Hersteller zum Einsatz - betroffen sind im PC-Bereich beispielsweise Acer, Asus, Fujitsu, HP, Lenovo, LG, Samsung und Toshiba, hinzu kommen diverse Produzenten von Embedded-Systemen.

Microsoft und Google arbeiten derzeit bereits an Updates für ihre Windows- und ChromeOS-Systeme. Ein behelfsmäßiger Workaround wurde bereits zum letzten Microsoft-Patch-Day geliefert. Letztlich wird man aber insbesondere bei sicherheitskritischen Anwendungen nicht darum herumkommen, die anfälligen TPM-Module auszutauschen - was in der Praxis den Neukauf von Mainboards oder ganzer Systeme bedeutet.

Was Nutzer tun können

Für den durchschnittlichen Nutzer gibt es erst einmal nicht viele Möglichkeiten, auf den Bug zu reagieren. Im Kern gilt es nun erst einmal die aktuellsten Betriebssystem-Updates zu installieren. Anschließend ist es nötig, unter Windows am Besten alle Passwörter in Anwendungen zu ändern, die mit dem TPM in Kontakt stehen. Dafür kann unter Windows im Run-Dialog "TPM.msc" gestartet werden. Dies bringt den TPM-Manager hervor, in dem alle entsprechenden Dienste verzeichnet sind und über den sich auch die Kennungen zurücksetzen lassen. In der kommenden Zeit sollte man auch die Augen offenhalten, ob weitere Patches nachgeschoben werden.

Härter trifft es die diversen Anbieter von Embedded-Systemen, die mit den TPM-Chips arbeiten. So muss die estnische Regierung beispielsweise alle betroffenen Personalausweise zurückrufen und ersetzen. Teils dürfte es auch nötig sein, rückwirkend Dokumente neu zu signieren, wenn Bedarf besteht, dass diese weiterhin gerichtsfest sein sollen.

Die Sicherheitsforscher, die sich mit dem Bug beschäftigten, haben eine klare Einschätzung abgegeben, wie dieses Problem überhaupt ein solches Ausmaß annehmen konnte: Wieder einmal, so hieß es, kommt hier der Trugschluss zum Tragen, dass es irgendwie sinnvoll sein könnte, wichtige Security-Features nicht von Beginn an als Open Source zu veröffentlichen, damit möglichst viele Augen die Quellen nach Problemen durchsuchen.

WinFuture.de: Update-Pack Die neuesten Patches in einem Paket Tpm, TPM 2.0, Trusted Platform Module, Trusted Pattform Tpm, TPM 2.0, Trusted Platform Module, Trusted Pattform Infineon
Diese Nachricht empfehlen
Kommentieren39
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 10:59 Uhr HP ProBook 6475B (Zertifiziert und Generalüberholt)HP ProBook 6475B (Zertifiziert und Generalüberholt)
Original Amazon-Preis
249
Im Preisvergleich ab
?
Blitzangebot-Preis
198
Ersparnis zu Amazon 20% oder 51

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles

Tipp einsenden