Krypto-GAU durch Infineons TPM-Bug weitaus größer als angenommen

Die eigentlich nicht besonders dramatische Sicherheitslücke in der WPA2-Verschlüsselung von WLANs hat kürzlich einem wesentlich schlimmeren Bug die Show gestohlen - und wie sich nun herausstellt, ist dieser sogar noch schlimmer, als es vor einigen Wochen noch klang. Das Kernproblem lag in einer fehlerhaften Implementierung von Kryptographie-Verfahren in die Umsetzung der Trusted Plattform Modul (TPM)-Spezifikationen durch den deutschen Chiphersteller Infineon. Dadurch waren Verschlüsselungen angreifbar, die mit Unterstützung dieses Chips generiert wurden. Das ist insbesondere auch deshalb ein Problem, weil am ehesten in hochkritischen Bereichen auf die TPM-Unterstützung zurückgegriffen wird.

Durch den Fehler war es prinzipiell möglich, aus einem öffentlichen den privaten Schlüssel einer RSA-Kodierung zu errechnen und somit komplett auf die verschlüsselten Inhalte zuzugreifen. Sicherheitsforscher schätzten damals, dass es bei einem 1.024-Bit-Key den Einsatz von 38 Dollar für die Anmietung von Rechenleistung in der Cloud und etwa 25 Minuten Zeit benötigt, um die Verschlüsselung zu knacken. Bei 2.048-Bit-Keys sollte der Aufwand auf rund 20.000 Dollar und neun Tage steigen.

Mit mehr ist zu rechnen

Das machte eine größere Welle von Angriffen unwahrscheinlich, reichte insbesondere in den Anwendungsbereichen solcher Verfahren aber trotzdem aus, um Unruhe zu stiften. Das bekannteste Beispiel wurden hierfür die elektronischen Personalausweise in Estland, die aufgrund einer sehr guten eGovernment-Infrasturktur für zahlreiche kritische Dienste eingesetzt werden und bei denen sich ein solcher Aufwand durchaus lohnen kann. Der Staat reagierte damit, dass 760.000 Ausweise als ungültig markiert wurden und ausgewechselt werden müssen.

Inzwischen haben die Sicherheitsforscher Daniel J. Bernstein und Tanja Lange nun auch Angriffsmethoden entwickelt, die zu 25 Prozent effizienter als die oben genannte Attacke sind. Sie betonten allerdings, dass diese noch auf den Informationen beruhen, die bei der ersten Bekanntgabe der Schwachstelle publiziert wurden. Inzwischen ist weitaus mehr über den Fehler bekannt geworden, sodass es sehr wahrscheinlich ist, die Effizienz einer Attacke auf die Kryptographie noch wesentlich weiter zu erhöhen. Das bringt noch weitaus mehr Dienste in Gefahr.

Die fehlerhaften TPMs Infineons sind nicht nur in einigen Smartcards zu finden. Der Bug betrifft quasi alle Produkte, die über die letzten fünf Jahre hinweg mit einem TPM des Anbieters ausgestattet wurden - darunter auch die meisten PCs diverser großer Hersteller. TPM 2.0, Tpm, Trusted Platform Module, Trusted Pattform TPM 2.0, Tpm, Trusted Platform Module, Trusted Pattform Infineon
Diese Nachricht empfehlen
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Video-Empfehlungen

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles

Tipp einsenden

❤ WinFuture unterstützen

Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!