Krypto-GAU: Infineon versorgt die Welt seit 2012 mit fehlerhaften TPMs

Der deutsche Chiphersteller Infineon sorgt aktuell für einen massiven Störfall in der IT-Sicherheit. Herausgekommen ist das Problem, als eine Schwachstelle in den digitalen Personalausweisen Estlands einer genaueren Untersuchung unterzogen worden ist.
TPM 2.0, Tpm, Trusted Platform Module, Trusted Pattform
Infineon
In dem baltischen Staat stellte sich heraus, dass die ID-Smartcards seit dem Jahr 2014 fehlerhaft sind. Bei 750.000 Karten, die seitdem ausgegeben wurden, lassen sich die Sicherheitsmaßnahmen knacken. Das bedeutet hier unter anderem, dass digitale Signaturen schlicht nicht mehr fälschungssicher sind. Und auch Daten, die mit den Ausweisen verschlüsselt und beispielsweise an Behörden übermittelt wurden, lassen sich so in den Klartext zurückübersetzen.

Während die estnische Regierung auf den Vorfall reagierte und zumindest erst einmal die Datenbank mit öffentlichen Schlüsseln der Bürger offline nahm, gingen die Untersuchungen weiter. Und in den letzten Tagen poppte eine Sicherheitswarnung nach der anderen auf. Es stellte sich heraus, dass Infineon eine fehlerhafte Krypto-Bibliothek fest in seinen TPM-Modulen verdrahtet hat, so dass nun quasi alle Geräte mit diesem Chip als unsicher angesehen werden müssen.

Die Schwierigkeit liegt hier darin, dass es ausgerechnet eine eigentlich ziemlich sichere Public-Key-Infrastructure (PKI) auf Basis des RSA-Standards trifft. Der Bug sorgt hier dafür, dass der private Schlüssel des Nutzers aus dem öffentlichen Schlüssel rekonstruiert werden kann. Somit ist faktisch die gesamte Krypto-Architektur auf Grundlage dieser Implementierung anfällig.

Bessere Frage: Was ist nicht betroffen?

Und der fehlerhafte Algorithmus steckt ausgerechnet in den von Infineon hergestellten Trusted Platform Module (TPM)-Chips. Diese kommen in einer Vielzahl von Systemen unterschiedlichster Hersteller zum Einsatz - betroffen sind im PC-Bereich beispielsweise Acer, Asus, Fujitsu, HP, Lenovo, LG, Samsung und Toshiba, hinzu kommen diverse Produzenten von Embedded-Systemen.

Microsoft und Google arbeiten derzeit bereits an Updates für ihre Windows- und ChromeOS-Systeme. Ein behelfsmäßiger Workaround wurde bereits zum letzten Microsoft-Patch-Day geliefert. Letztlich wird man aber insbesondere bei sicherheitskritischen Anwendungen nicht darum herumkommen, die anfälligen TPM-Module auszutauschen - was in der Praxis den Neukauf von Mainboards oder ganzer Systeme bedeutet.

Was Nutzer tun können

Für den durchschnittlichen Nutzer gibt es erst einmal nicht viele Möglichkeiten, auf den Bug zu reagieren. Im Kern gilt es nun erst einmal die aktuellsten Betriebssystem-Updates zu installieren. Anschließend ist es nötig, unter Windows am Besten alle Passwörter in Anwendungen zu ändern, die mit dem TPM in Kontakt stehen. Dafür kann unter Windows im Run-Dialog "TPM.msc" gestartet werden. Dies bringt den TPM-Manager hervor, in dem alle entsprechenden Dienste verzeichnet sind und über den sich auch die Kennungen zurücksetzen lassen. In der kommenden Zeit sollte man auch die Augen offenhalten, ob weitere Patches nachgeschoben werden.

Härter trifft es die diversen Anbieter von Embedded-Systemen, die mit den TPM-Chips arbeiten. So muss die estnische Regierung beispielsweise alle betroffenen Personalausweise zurückrufen und ersetzen. Teils dürfte es auch nötig sein, rückwirkend Dokumente neu zu signieren, wenn Bedarf besteht, dass diese weiterhin gerichtsfest sein sollen.

Die Sicherheitsforscher, die sich mit dem Bug beschäftigten, haben eine klare Einschätzung abgegeben, wie dieses Problem überhaupt ein solches Ausmaß annehmen konnte: Wieder einmal, so hieß es, kommt hier der Trugschluss zum Tragen, dass es irgendwie sinnvoll sein könnte, wichtige Security-Features nicht von Beginn an als Open Source zu veröffentlichen, damit möglichst viele Augen die Quellen nach Problemen durchsuchen.

WinFuture.de: Update-Pack Die neuesten Patches in einem Paket
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Jetzt als Amazon Blitzangebot
Ab 06:05 Uhr Acemagician AM06 Pro Mini PC, AMD Ryzen 7 5700U (8C/16T, up to 4.3 GHz) ,32GB DDR4 512 GB Nvme SSD Mini Desktop PC mit 4K Triple Display | Dual Ethernet | WiFi 6 | BT 5.2 | Type-CAcemagician AM06 Pro Mini PC, AMD Ryzen 7 5700U (8C/16T, up to 4.3 GHz) ,32GB DDR4 512 GB Nvme SSD Mini Desktop PC mit 4K Triple Display | Dual Ethernet | WiFi 6 | BT 5.2 | Type-C
Original Amazon-Preis
499,99
Im Preisvergleich ab
?
Blitzangebot-Preis
354,99
Ersparnis zu Amazon 29% oder 145
Folgt uns auf Twitter
WinFuture bei Twitter
Interessante Artikel & Testberichte
WinFuture wird gehostet von Artfiles
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!