In einer von Infineon entwickelten Verschlüsselungsbibliothek hat ein Team von tschechischen und slowakischen Forschern eine schwere Sicherheitslücke entdeckt. Die mit dem RSA-Verfahren erzeugten Schlüssel sind unsicher und lassen sich mit größerem Aufwand knacken. In zahlreichen Hardware-Kryptomodulen kommt diese Bibliothek zum Einsatz.

Bislang sind genauere Details über die Sicherheitslücke nicht bekannt. Diese sollen auf der Konferenz CCS (Computer and Communications Security) veröffentlicht werden, die in zwei Wochen stattfinden wird. Jedoch haben die Entdecker der Lücke auf einer Website mit dem Namen ROCA einige Vorabinformationen bereit gestellt. Weiterhin gibt es ein Tool, mit dem geprüft werden kann, ob RSA-Schlüssel von der Lücke betroffen sind. Die Sicherheitslücke wird unter der Kennung CVE-2017-15361 geführt.

Das Problem liegt bei der Implementierung der Schlüsselerzeugung in Infineon-Produkten, und nicht an dem RSA-Algorithmus selbst. Zu den betroffenen Geräte zählen Hardware-Kryptomodule, allerdings sind die Fehler nicht in der Hardware direkt implementiert, sondern in der darin vorhandenen Embedded-Software.

(pp, hannover)

(siehe auch golem.de:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE