英飛凌TPM晶元組生成不安全的RSA密鑰，多家廠商受影響

許多現代主板隨帶的英飛凌TPM晶元組可生成不安全的RSA加密密鑰，從而讓設備有可能受到攻擊。

TPM的全稱是可信平台模塊（TPM），這項國際標準適用於用來存儲關鍵數據（比如密碼、證書和加密密鑰等）的安全加密處理器。

在硬體層面，TPM是駐留在主系統板（主板）上的專用微型控制器，提供了硬體隔離機制，並生成和存儲用來驗證平台的工件（artifact），比如密碼、證書或加密密鑰。

TPM模塊

安全漏洞隻影響英飛凌TPM

據英飛凌上周發布的安全警報顯示，英飛凌TPM固件中的一個安全漏洞導致生成RSA密鑰。只有基於TCG規範系列1.2和2.0的英飛凌TPM受到了影響。

英飛凌是目前其晶元組用於生產環境的許多TPM廠商之一，所以並非所有主板都受到影響。

英飛凌上周發布了固件更新，並將更新轉發給了主板廠商，這些廠商現正竭力將英飛凌TPM固件更新整合到所有產品中。

大批廠商受到影響

TPM通常用於商務筆記本、路由器、嵌入式設備和物聯網設備等。受到影響的知名廠商包括：宏碁、華碩、富士通、惠普、聯想、LG、三星、東芝及其他小型Chromebook廠商。

惠普在今天發布的安全警報中稱：「看到該安全公告中的信息，要儘快採取相應對策。」

富士通在類似的安全警報中稱：「該安全漏洞削弱了公鑰抵抗用來推斷出相應RSA私鑰的攻擊的能力。」

聯想稱：「應當認為英飛凌TPM生成的供某些軟體程序使用的RSA公鑰是不安全的。只有使用TPM生成的RSA密鑰的軟體才受到該安全漏洞的影響。」

這三大廠商在竭力發布固件更新，它們已在各自的安全公告中發布了名單，列出了使用英飛凌TPM的受影響的產品。

操作系統廠商發布「變通方法」

微軟和谷歌也發布了緩解這個漏洞的安全更新。

微軟將其更新分類為努力防止被攻擊的「變通方法」。用戶要核查自己的主板是否使用了英飛凌TPM晶元組，必要的話為每一種受影響的產品手動安裝固件更新。

Chromebook設備也受到了影響。谷歌已在這裡（https://sites.google.com/a/chromium.org/dev/chromium-os/tpm_firmware_update）的安全公告中列出了受影響的Chromebook。該公司還發布了Chrome OS M60以緩解漏洞。谷歌還發布了一個變通方法，用戶得從相應廠商下載主板更新。

谷歌還客觀地分析了這個安全漏洞，解釋平常用戶不在該安全漏洞的威脅途徑上，但可能被人鑽空子，進而對重要目標發動針對性攻擊。

谷歌稱：「目前已知的漏洞需要龐大的計算開銷，TPM生成的RSA密鑰無法被大規模破解，但是針對性攻擊有可能。總之，TPM生成的RSA密鑰面臨一種實際的攻擊，但是它無法讓人大規模攻擊Chrome OS設備。」

用戶需要重新生成密碼和訪問令牌

在主板廠商發布新的固件更新、包含英飛凌的TPM修正版之前，一條基本的建議就是將關鍵用戶和處理數據的操作轉移到更新了固件的設備或不受該安全漏洞影響的設備。

一旦用戶收到固件更新，他們應該重新生成所有的TPM密鑰。只要為支持TPM的應用程序更改所有密鑰，就能完成這一點。

由於很難知道哪些應用程序和操作系統功能使用TPM，用戶可以通過在Windows搜索/運行欄輸入TPM.MSC，由此重置TPM，即可重置TPM模塊。Technet上的這篇文章（https://technet.microsoft.com/en-us/library/cc749022(v=ws.10).aspx）介紹了更多的操作方法。

這只是今天披露的首批重大的加密漏洞之一。關於第二個漏洞的細節會在今天晚些時間發布。該問題影響WPA2 WiFi協議，傳聞稱它讓攻擊者能夠對WPA2保護的網路發動竊聽攻擊。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 雲頭條 的精彩文章: