2019 년 XNUMX 월 SSL.com의 Security Roundup에 오신 것을 환영합니다. 여기에서 SSL /에 대한 이달의 개발 사항을 소개합니다.TLS, 디지털 인증서 및 네트워크 보안! 이번 호에서는 다음 내용을 다룰 것입니다.
- TPM-FAIL : 새로 발견 취약점 Intel 펌웨어 기반 TPM 및 STMicroelectronics의 TPM 칩
- 위임 된 자격 증명 for TLS
- 유럽의 어지럽다 IPv4 주소
- XNUMXD덴탈의 위배 여러 도메인 이름 등록 기관
TPM- 실패
블 리핑 컴퓨터에서 Sirgiu Gatlan 보고서 Worcester Polytechnic Institute, University of Lübeck, University of California, San Diego의 연구팀이 Intel 펌웨어 기반 TPM (fTPM) 및 STMicroelectronics의 TPM (Trusted Platform Module) 칩에서 두 가지 취약점을 발견했습니다.
이 취약점은 더빙 TPM- 실패 연구원은 침입자가 저장된 개인 암호화 키를 복구 할 수 있도록합니다. 에 TPM-FAIL 웹 사이트연구원들은 다음과 같이 진술했다.
인텔 펌웨어 기반 TPM (fTPM)과 STMicroelectronics의 TPM 칩에서 타이밍 누출을 발견했습니다. 둘 다 암호화 서명 생성 중에 비밀 종속 실행 시간을 나타냅니다. 키는 TPM 하드웨어 내부에 안전하게 유지되어야하지만이 정보를 통해 공격자가 타원 곡선을 기반으로하는 디지털 서명 체계에서 256 비트 개인 키를 복구하는 방법을 보여줍니다.
연구원들은 또한
로컬 적은 액세스 수준에 따라 4-20 분 안에 Intel fTPM에서 ECDSA 키를 복구 할 수 있습니다. 우리는 5 시간 안에 VPN (가상 사설망) 서버의 인증 키를 복구함으로써 고속 네트워크에서 원격으로 이러한 공격을 수행 할 수 있음을 보여줍니다.
Gatlan은 "취약한 Intel fTPM…은 Dell, HP 및 Lenovo를 포함하되 이에 국한되지 않는 대부분의 컴퓨터 제조업체에서 사용되며" 인텔 사물 인터넷 (IoT) 플랫폼 산업, 의료, 스마트 시티 및 커넥 티드 차량에 사용되는 제품군입니다.”
인텔은 패치 fPMM 펌웨어에 TPM-FAIL 취약성을 수정하고 STMicroelectronics는 TPM-FAIL 내성 TPM 칩을 발표했습니다.
위임 된 자격 증명 TLS
1 월 XNUMX 일 Cloudflare 발표 위임 된 자격 증명 지원 TLS, Facebook 및 Mozilla와 공동으로 개발 한 새로운 암호화 프로토콜입니다. 위임 된 자격 증명은 SSL /TLS CDN (콘텐츠 전송 네트워크)과 같은 여러 글로벌 엔드 포인트에 배포. Cloudflare에 따르면 위임 된 자격 증명은 다음과 같습니다.
인증서 소유자가 사용을 위해 위임 한 단기 키 TLS. 위임장처럼 작동합니다. 귀하의 서버는 당사 서버를 종료하도록 승인합니다. TLS 제한된 시간 동안. 이 프로토콜을 지원하는 브라우저가 에지 서버에 연결되면 고객의 서버에 다시 연결하여 권한을 부여 할 필요없이이 "위임장"을 표시 할 수 있습니다. TLS 연결. 이렇게하면 대기 시간이 줄어들고 성능과 안정성이 향상됩니다.
위임 된 자격 증명은 이전 자격 증명이 만료되기 전에 주기적으로 CDN의 에지 서버로 푸시되기 때문에 시스템은 다음과 같은 풀 기반 프로토콜과 관련된 대기 시간을 방지합니다. 열쇠가없는 SSL. 위임 된 자격 증명에 대한 Facebook 및 Mozilla의 발표를 읽을 수 있습니다. 여기에서 지금 확인해 보세요. 및 여기에서 지금 확인해 보세요., 그리고 IETF로부터 자세한 정보를 얻으십시오 징병 사양의.
IPv4 주소 부족
RIPE (유럽의 지역 인터넷 레지스트리) 발표 25 월 4 일에 더 이상 IPvXNUMX 주소가 남아 있지 않습니다.
사용 가능한 풀의 마지막 나머지 주소에서 최종 / 22 IPv4 할당을 수행했습니다. 이제 IPv4 주소가 부족합니다.
RIPE는 비록 그들이 IPv4 주소를 벗어 났음에도 불구하고“폐업했거나 폐쇄 된 조직, 또는 더 이상 필요하지 않은 주소를 반환하는 네트워크에서”더 많은 것을 계속해서 복구 할 것이라고 말합니다. 밖으로 로컬 인터넷 레지스트리 대기자 명단을 통한 (LIR).
여러 도메인 이름 등록 기관이 위반
Engadget의 Steve Dent 보고서 Web.com과 자회사 인 NetworkSolutions.com 및 Register.com이 2019 년 XNUMX 월 말 공격자들에 의해 침해당했습니다.
Web.com에 따르면, 위반은 "제한된 수의 컴퓨터 시스템", "신용 카드 데이터가 손상되지 않았습니다", 그리고 저장된 암호화 된 암호가 취약하다고 생각하지 않는다는 것을 포함했습니다 (그러나 고객은 암호를 변경해야 함). . 그러나 공격자는 "이름, 주소, 전화 번호, 이메일 주소 및 지정된 계정 소유자에게 제공하는 서비스에 대한 정보"와 같은 연락처 정보를 수집 할 수있었습니다.
덴트 (Dent)는 도메인 이름 레지스터의 손상은 다음과 같은 심각한 결과를 초래할 수 있다고 지적했다.
예를 들어 해커가 한 번 위험에 처한 브라질 은행의 도메인 이름 등록 기관에서 자격 증명을 훔치고 맬웨어를 설치 한 유사 사이트로 사용자를 리디렉션했습니다. Kaspersky의 Dmitry Bestuzhev는“DNS가 사이버 범죄자의 통제를 받으면 기본적으로 망가진 것입니다. 유선 사건에 대해.
