SSL.com のセキュリティ ラウンドアップの 2019 年 XNUMX 月版へようこそ。ここでは、SSL/ における今月の開発の一部を紹介します。TLS、デジタル証明書、およびネットワーク セキュリティ! この版では、次の内容について説明します。
- TPM-FAIL: 新たに発見されました 脆弱性 Intel ファームウェアベースの TPM および STMicroelectronics の TPM チップに搭載
- 委任された資格情報 for TLS
- 欧州の 不足している IPv64アドレス
- この 違反 複数のドメイン名レジストラの
TPM-失敗
Bleeping Computer での Sirgiu Gatlan レポート ウースター工科大学、リューベック大学、カリフォルニア大学サンディエゴ校の研究チームが、Intel ファームウェアベースの TPM (fTPM) と STMicroelectronics の TPM (Trusted Platform Module) チップに XNUMX つの脆弱性を発見したと発表しました。
これらの脆弱性は、 TPM-失敗 研究者らにより、攻撃者が保存された秘密暗号キーを回復できるようになります。 で TPM-FAIL ウェブサイト、研究者らは次のように述べています。
私たちは、Intel ファームウェアベースの TPM (fTPM) および STMicroelectronics の TPM チップでタイミング リークを発見しました。 どちらも、暗号署名の生成中にシークレットに依存した実行時間を示します。 キーは TPM ハードウェア内に安全に保存される必要がありますが、攻撃者がこの情報を利用して、楕円曲線に基づくデジタル署名スキームから 256 ビットの秘密キーを回復する方法を示します。
研究者らが次のように主張しているように、実証された攻撃は実用的です。
ローカルの攻撃者は、アクセス レベルに応じて 4 ~ 20 分で Intel fTPM から ECDSA キーを回復できます。 さらに、仮想プライベート ネットワーク (VPN) サーバーの認証キーを 5 時間以内に回復することで、これらの攻撃が高速ネットワーク上でリモートから実行できることも示しました。
Gatlan 氏は、「脆弱な Intel fTPM は、Dell、HP、Lenovo を含むがこれらに限定されない、大多数のコンピュータ メーカーで使用されている」と述べ、「また、以下の企業でも広く使用されています」と述べています。 インテル モノのインターネット (IoT) プラットフォーム 産業、ヘルスケア、スマートシティ、コネクテッドカーで使用される製品ファミリーです。」
インテルが発行した patch 自社の fTPM ファームウェアに TPM-FAIL 脆弱性を修正し、STMicroelectronics は TPM-FAIL 耐性のある TPM チップを発行しました。
委任された資格情報 TLS
1 月 XNUMX 日、Cloudflare 発表の 委任された認証情報のサポート TLS、Facebook および Mozilla と協力して開発された新しい暗号化プロトコル。 委任された資格情報は、SSL/を容易にすることを目的としています。TLS コンテンツ配信ネットワーク (CDN) など、複数のグローバル エンドポイントにわたる展開。 Cloudflare によると、委任された認証情報は次のとおりです。
証明書の所有者が使用を委任した短期間のキー TLS。 これらは委任状のように機能します。あなたのサーバーは私たちのサーバーを終了することを許可します。 TLS 期間限定で。 このプロトコルをサポートするブラウザが当社のエッジ サーバーに接続すると、顧客のサーバーにアクセスして認証を取得する代わりに、この「委任状」をブラウザに提示できます。 TLS 繋がり。 これによりレイテンシが短縮され、パフォーマンスと信頼性が向上します。
委任された資格情報は、前の資格情報の有効期限が切れる前に CDN のエッジ サーバーに定期的にプッシュされるため、システムは次のようなプルベースのプロトコルに関連する遅延を回避します。 キーレスSSL。 委任された資格情報に関する Facebook と Mozilla の発表を読むことができます。 (茶事の話はこちらをチェック) • (茶事の話はこちらをチェック)、それぞれ、IETF から詳細を入手してください。 ドラフト 仕様の。
IPv4 アドレスが不足しています
RIPE (ヨーロッパの地域インターネットレジストリ) 発表の 25 月 4 日、IPvXNUMX アドレスがもう残っていないことが判明
使用可能なプールに最後に残ったアドレスから、最終的な /22 IPv4 割り当てを行いました。 IPv4 アドレスが不足してしまいました。
RIPE は、たとえ IPv4 アドレスが不足しているとしても、「廃業した組織や閉鎖された組織、または不要になったアドレスを返却するネットワークから」今後もさらに多くのアドレスを回収し続けるだろうと述べています。に出かける ローカルインターネットレジストリ (LIR) 待機リスト経由。
複数のドメイン名レジストラが侵害される
Engadget のスティーブ・デント レポート Web.com とその子会社である NetworkSolutions.com および Register.com は、2019 年 XNUMX 月下旬に攻撃者によって侵害されました。
Web.com によると、この侵害には「限られた数の同社のコンピュータ システム」が関与しており、「クレジット カード データは侵害されていない」とし、保存され暗号化されたパスワードが脆弱であるとは考えていない(ただし、顧客はパスワードを変更する必要がある)と述べています。 。 ただし、攻撃者は「名前、住所、電話番号、電子メール アドレス、および特定のアカウント所有者に提供するサービスに関する情報」などの連絡先の詳細を収集できた可能性があります。
デント氏は、ドメイン名登録の侵害が悲惨な結果をもたらす可能性があると指摘しています。
たとえば、かつてハッカーたちは 損害を受けた ブラジルの銀行のドメイン名登録機関を攻撃し、ユーザーを類似サイトにリダイレクトし、認証情報を盗んでマルウェアをインストールしました。 カスペルスキーのドミトリー・ベストゥジェフ氏は、「DNSがサイバー犯罪者の制御下にあるとしたら、基本的にダメだ」と語った。 ワイヤード 事件について。