Willkommen zur Ausgabe des SSL.com Security Roundup vom November 2019, in der wir eine Auswahl der Entwicklungen des Monats in SSL / präsentieren.TLS, digitale Zertifikate und Netzwerksicherheit! In dieser Ausgabe behandeln wir:
- TPM-FAIL: neu entdeckt Schwachstellen in Intel Firmware-basierten TPM- und STMicroelectronics-TPM-Chips
- Delegierte Anmeldeinformationen für TLS
- Europas Mangel an IPv4-Adressen
- Das durchbrechen von mehreren Domainnamen-Registraren
TPM-FEHLER
Sirgiu Gatlan bei Bleeping Computer Berichte Ein Forschungsteam des Worcester Polytechnic Institute, der University of Lübeck und der University of California in San Diego hat zwei Schwachstellen in TPM- (fTPM) und TPM-Chips (Trusted Platform Module) von STMicroelectronics aufgedeckt.
Diese Schwachstellen werden synchronisiert TPM-FEHLER Ermöglichen Sie den Forschern, gespeicherte private kryptografische Schlüssel wiederherzustellen. Auf der TPM-FAIL-WebsiteDie Forscher geben an, dass:
Wir haben Timing Leakage auf Intel Firmware-basiertem TPM (fTPM) sowie auf dem TPM-Chip von STMicroelectronics entdeckt. Beide weisen während der Erzeugung der kryptografischen Signatur geheimabhängige Ausführungszeiten auf. Während der Schlüssel sicher in der TPM-Hardware verbleiben sollte, zeigen wir, wie diese Informationen es einem Angreifer ermöglichen, private 256-Bit-Schlüssel aus digitalen Signaturschemata basierend auf elliptischen Kurven wiederherzustellen.
Die gezeigten Angriffe sind praktisch, wie die Forscher auch behaupten
Ein lokaler Gegner kann den ECDSA-Schlüssel je nach Zugriffsebene in 4 bis 20 Minuten von Intel fTPM wiederherstellen. Wir zeigen sogar, dass diese Angriffe in schnellen Netzwerken remote ausgeführt werden können, indem der Authentifizierungsschlüssel eines VPN-Servers (Virtual Private Network) in 5 Stunden wiederhergestellt wird.
Gatlan merkt an, dass "das anfällige Intel fTPM ... von der überwiegenden Mehrheit der Computerhersteller verwendet wird, einschließlich, aber nicht beschränkt auf Dell, HP und Lenovo" und "auch von weit verbreitet verwendet wird Intel Internet der Dinge (IoT) -Plattform Produktfamilie für Industrie, Gesundheitswesen, Smart Cities und vernetzte Fahrzeuge. “
Intel hat eine Flicken STMicroelectronics hat einen TPM-FAIL-resistenten TPM-Chip herausgegeben, um die TPM-FAIL-Schwachstellen zu beheben.
Delegierte Anmeldeinformationen für TLS
Am 1. November Cloudflare angekündigt Unterstützung für delegierte Anmeldeinformationen für TLS, ein neues kryptografisches Protokoll, das in Zusammenarbeit mit Facebook und Mozilla entwickelt wurde. Delegierte Anmeldeinformationen sollen SSL / vereinfachen.TLS Bereitstellung über mehrere globale Endpunkte hinweg, z. B. in einem Content Delivery Network (CDN). Laut Cloudflare lautet ein delegierter Berechtigungsnachweis:
Ein kurzlebiger Schlüssel, den der Inhaber des Zertifikats zur Verwendung in delegiert hat TLS. Sie funktionieren wie eine Vollmacht: Ihr Server autorisiert unseren Server zur Kündigung TLS für eine begrenzte Zeit. Wenn ein Browser, der dieses Protokoll unterstützt, eine Verbindung zu unseren Edgeservern herstellt, können wir ihm diese „Vollmacht“ anzeigen, anstatt auf den Server eines Kunden zurückgreifen zu müssen, damit dieser die Berechtigung erteilt TLS Verbindung. Dies reduziert die Latenz und verbessert die Leistung und Zuverlässigkeit.
Da delegierte Anmeldeinformationen regelmäßig an die Edgeserver des CDN übertragen werden, bevor die vorherigen Anmeldeinformationen ablaufen, vermeidet das System die Latenz, die mit Pull-basierten Protokollen wie z Schlüsselloses SSL. Sie können die Ankündigungen von Facebook und Mozilla zu delegierten Anmeldeinformationen lesen hier und hierund erhalten Sie alle Details von der IETF Lüftung der Spezifikation.
IPv4-Adressen gehen zur Neige
RIPE (Europas regionales Internetregister) angekündigt am 25. November, dass sie keine IPv4-Adressen mehr haben
Wir haben unsere endgültige / 22 IPv4-Zuweisung aus den letzten verbleibenden Adressen in unserem verfügbaren Pool vorgenommen. Wir haben jetzt keine IPv4-Adressen mehr.
Laut RIPE werden sie sich auch in Zukunft mehr von IPv4-Adressen erholen, "von Organisationen, die ihr Geschäft eingestellt haben oder geschlossen sind, oder von Netzwerken, die nicht mehr benötigte Adressen zurückgeben", und sie weitergeben raus zu Lokale Internetregister (LIRs) über eine Warteliste.
Mehrere Domainnamen-Registrare verletzt
Steve Dent bei Engadget Berichte dass Web.com und seine Tochtergesellschaften NetworkSolutions.com und Register.com Ende August 2019 von Angreifern verletzt wurden.
Laut Web.com betraf der Verstoß eine "begrenzte Anzahl seiner Computersysteme", "keine Kreditkartendaten wurden kompromittiert" und sie glauben nicht, dass gespeicherte, verschlüsselte Passwörter anfällig sind (Kunden sollten sie jedoch ändern). . Möglicherweise konnten die Angreifer jedoch Kontaktdaten wie "Name, Adresse, Telefonnummern, E-Mail-Adressen und Informationen zu den Diensten, die wir einem bestimmten Kontoinhaber anbieten" erfassen.
Dent stellt fest, dass der Kompromiss eines Domainnamenregisters möglicherweise schwerwiegende Folgen hat:
Zum Beispiel einmal Hacker kompromittiert Der Domain-Registrar einer brasilianischen Bank leitete Benutzer zu ähnlichen Websites weiter, die ihre Anmeldeinformationen gestohlen und Malware installiert haben. "Wenn Ihr DNS unter der Kontrolle von Cyberkriminellen steht, sind Sie im Grunde genommen durcheinander", sagte Dmitry Bestuzhev von Kaspersky Kabelgebunden über den Vorfall.
