Useissa salauskirjastoissa tiedon luottamuksellisuuden vaarantava haavoittuvuus

RSA-allekirjoitusten laskemisen yhteydessä käytetystä CRT-optimoinnista on jo vuonna 1996 löytynyt heikkous, joka on nyt todettu aiempaa vaarallisemmaksi. Heikkous voi paljastaa yksityisen RSA-avaimen TLS Perfect Forward Secrecy -suojausmenetelmää käytettäessä.

Mikäli allekirjoituksen laskemisen yhteydessä tapahtuu virhe, eikä allekirjoituksen oikeellisuutta varmisteta, on hyökkääjän mahdollista selvittää yksityinen avain virheellisen RSA-allekirjoituksen perusteella. RSA-allekirjoituksia käytetään esimerkiksi TLS:n PFS-suojausmenetelmän kanssa.

Allekirjoituksen tarkistaminen suojaa heikkoudelta, mutta kaikki salauskirjastot eivät toteuta suojausta. RSA-CRT-optimointia käytetään salauskirjastoissa lähes poikkeuksetta.

Yksityisen avaimen vuotamiselle muita altiimpia ovat laitteet, joissa lasku- tai muistivirheen todennäköisyys on tavallista suurempi, kuten jotkin sulautetut laitteet. Laskuvirheitä voi olla mahdollista aiheuttaa häiritsemällä laitteen toimintaa fyysisesti.

Tämänhetkisen tiedon perusteella avaimen vuotaminen nykyaikaisesta palvelinympäristöstä vaikuttaa varsin epätodennäköiseltä.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Palvelimet ja palvelinsovellukset
  • Verkon aktiivilaitteet
  • Sulautetut järjestelmät
Lisätietoa +

Hyökkäystapa

  • Etäkäyttö
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Luottamuksellisen tiedon hankkiminen
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Ei päivitystä
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

Seuraavat toteutukset eivät tarkista RSA-CRT allekirjoituksen oikeellisuutta:

  • cryptlib 3.4.2
  • Go 1.4.1
  • libgcrypt (GNUTLS) 1.6.2
  • Nettle 3.0.0
  • ocaml-nocrypto 0.5.1
  • OpenSwan 2.6.44
  • PolarSSL 1.3.9

Myös aiemmat versiot ovat todennäköiseti haavoittuvia.

Seuraavat toteutukset eivät ole haavoittuvia:
  • GnuPG
  • OpenSSL 0.9.7 ja uudemmat versiot

Listat eivät ole kattavia, mutta täydentyvät sitä mukaa, kun tarkempia tietoja tulee saataville.

Ratkaisu- ja rajoitusmahdollisuudet:

Seuraa valmistajien päivitystiedotteita.

Yksityinen RSA-avaimen vaihtoa kannattaa harkita, mikäli avainta on käytetty allekirjoitusten tekemiseen suojaamattomalla salauskirjastototeutuksella.

Kyberturvallisuuskeskus ei suosittele poistamaan TLS Perfect Forward Secrecy -suojausmenetelmää haavoittuvuuden johdosta.

Lisätietoa:

Päivityshistoria

Asiasanat: Tietoturva , Haavoittuvuudet

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248