Ergebnis 1 bis 1 von 1

Thema: Krypto-GAU: Infineon versorgt die Welt seit 2012 mit fehlerhaften TPMs

  1. #1
    Senior Avatar von delle
    Registriert
    May 2017
    Beiträge
    304
    Gefällt mir!
    534
    Du gefällst: 609

    Krypto-GAU: Infineon versorgt die Welt seit 2012 mit fehlerhaften TPMs

    Der deutsche Chiphersteller Infineon sorgt aktuell für einen massiven Störfall in der IT-Sicherheit. Herausgekommen ist das Problem, als eine Schwachstelle in den digitalen Personalausweisen Estlands einer genaueren Untersuchung unterzogen worden ist.

    In dem baltischen Staat stellte sich heraus, dass die ID-Smartcards seit dem Jahr 2014 fehlerhaft sind. Bei 750.000 Karten, die seitdem ausgegeben wurden, lassen sich die Sicherheitsmaßnahmen knacken. Das bedeutet hier unter anderem, dass digitale Signaturen schlicht nicht mehr fälschungssicher sind. Und auch Daten, die mit den Ausweisen verschlüsselt und beispielsweise an Behörden übermittelt wurden, lassen sich so in den Klartext zurückübersetzen.

    Während die estnische Regierung auf den Vorfall reagierte und zumindest erst einmal die Datenbank mit öffentlichen Schlüsseln der Bürger offline nahm, gingen die Untersuchungen weiter. Und in den letzten Tagen poppte eine Sicherheitswarnung nach der anderen auf. Es stellte sich heraus, dass Infineon eine fehlerhafte Krypto-Bibliothek fest in seinen TPM-Modulen verdrahtet hat, so dass nun quasi alle Geräte mit diesem Chip als unsicher angesehen werden müssen.

    Die Schwierigkeit liegt hier darin, dass es ausgerechnet eine eigentlich ziemlich sichere Public-Key-Infrastructure (PKI) auf Basis des RSA-Standards trifft. Der Bug sorgt hier dafür, dass der private Schlüssel des Nutzers aus dem öffentlichen Schlüssel rekonstruiert werden kann. Somit ist faktisch die gesamte Krypto-Architektur auf Grundlage dieser Implementierung anfällig.

    Bessere Frage: Was ist nicht betroffen?

    Und der fehlerhafte Algorithmus steckt ausgerechnet in den von Infineon hergestellten Trusted Platform Module (TPM)-Chips. Diese kommen in einer Vielzahl von Systemen unterschiedlichster Hersteller zum Einsatz - betroffen sind im PC-Bereich beispielsweise Acer, Asus, Fujitsu, HP, Lenovo, LG, Samsung und Toshiba, hinzu kommen diverse Produzenten von Embedded-Systemen.

    Microsoft und Google arbeiten derzeit bereits an Updates für ihre Windows- und ChromeOS-Systeme. Ein behelfsmäßiger Workaround wurde bereits zum letzten Microsoft-Patch-Day geliefert. Letztlich wird man aber insbesondere bei sicherheitskritischen Anwendungen nicht darum herumkommen, die anfälligen TPM-Module auszutauschen - was in der Praxis den Neukauf von Mainboards oder ganzer Systeme bedeutet.

    Was Nutzer tun können

    Für den durchschnittlichen Nutzer gibt es erst einmal nicht viele Möglichkeiten, auf den Bug zu reagieren. Im Kern gilt es nun erst einmal die aktuellsten Betriebssystem-Updates zu installieren. Anschließend ist es nötig, unter Windows am Besten alle Passwörter in Anwendungen zu ändern, die mit dem TPM in Kontakt stehen. Dafür kann unter Windows im Run-Dialog "TPM.msc" gestartet werden. Dies bringt den TPM-Manager hervor, in dem alle entsprechenden Dienste verzeichnet sind und über den sich auch die Kennungen zurücksetzen lassen. In der kommenden Zeit sollte man auch die Augen offenhalten, ob weitere Patches nachgeschoben werden.

    Härter trifft es die diversen Anbieter von Embedded-Systemen, die mit den TPM-Chips arbeiten. So muss die estnische Regierung beispielsweise alle betroffenen Personalausweise zurückrufen und ersetzen. Teils dürfte es auch nötig sein, rückwirkend Dokumente neu zu signieren, wenn Bedarf besteht, dass diese weiterhin gerichtsfest sein sollen.

    Die Sicherheitsforscher, die sich mit dem Bug beschäftigten, haben eine klare Einschätzung abgegeben, wie dieses Problem überhaupt ein solches Ausmaß annehmen konnte: Wieder einmal, so hieß es, kommt hier der Trugschluss zum Tragen, dass es irgendwie sinnvoll sein könnte, wichtige Security-Features nicht von Beginn an als Open Source zu veröffentlichen, damit möglichst viele Augen die Quellen nach Problemen durchsuchen.
    Quelle:

  2. Diesen Mitgliedern gefällt dieser Beitrag:


  3. Werbung - Hier werben?

Ähnliche Themen

  1. Windowns Server 2012 Proxy?
    Von Gollum im Forum Technik / Hardware & Software
    Antworten: 6
    Letzter Beitrag: 17.02.2018, 20:14
  2. Antworten: 0
    Letzter Beitrag: 15.11.2016, 14:10
  3. (MSSQL) - microsoft server 2012 wochenberichte
    Von judas09 im Forum Entwicklung / Programmierung
    Antworten: 10
    Letzter Beitrag: 16.08.2016, 22:23
  4. Adminrechte bei Win Server 2012
    Von Nightmare im Forum Technik / Hardware & Software
    Antworten: 12
    Letzter Beitrag: 22.04.2015, 15:26

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
SzeneBox.org... im Mittelpunkt der Szene!
© since 2015 szeneBOX.org - All Rights Reserved
Domains: www.szenebox.org