Hem Aktuellt Sårbarhet i crypto lib
Aktuellt

Sårbarhet i crypto lib

Nyheter

Sårbarhet i Infineons säkerhetsbibliotek (crypto lib)

En oberoende forskargrupp har hittat en sårbarhet i RSA-implementationen i Infineons säkerhetsbibliotek (crypto lib); ”ROCA vulnerability (CVE-2017-15361)”. Säkerhetsbiblioteket finns som firmware i många av Infineons chip, exempelvis i chip för smartkort och TPM-chip som ingår i olika datorer och mobila enheter.

Sårbarheten påverkar säkerheten för RSA-nycklar som skapas i Infineons chip med hjälp av funktioner i säkerhetsbiblioteket, så kallad RSA On-Board Key Generation. Sårbarheten gör att det finns en koppling mellan den privata nyckeln och den publika nyckeln som gör att den privata nyckeln kan ”knäckas” betydligt snabbare än den annars skulle kunna göras. Det är dock inte tekniken runt algoritmerna för RSA som är problemet utan hur Infineon implementerat dem i sitt säkerhetsbibliotek.

Påverkan på produkter i SecMakers sortiment

De produkter i SecMakers sortiment som potentiellt är drabbade av sårbarheten är kort av typen Gemalto IDPrime .Net och USB-tokens från Yubico (YubiKeys).

Inga andra av de kort som finns i SecMakers sortiment är påverkade av sårbarheten. Detta beror antingen på att drabbade chip från Infineon inte används i korten eller att kortleverantörerna implementerat och använder ett eget säkerhetsbibliotek än det som levererats med Infineons chip.

Gemalto IDPrime .NET

Alla kort av typen IDPrime .NET från Gemalto är potentiellt utsatta för sårbarheten, se säkerhetsinformation på Gemaltos hemsida.

Både vi på SecMaker och Gemalto tar sårbarheten på största allvar. En dialog pågår mellan SecMaker och Gemalto om hur den uppkomna situationen ska lösas för de kunder som är drabbade. Vi kommer uppdatera informationen runt Gemalto IDPrime .NET då ny fakta finns tillgänglig.

SecMaker rekommenderar i nuläget alla kunder som använder .Net-kort att sluta använda On-Board Key Generation för generering av kortets RSA-nycklar och istället generera dessa utanför korten även om det kan medföra andra säkerhetsrisker.

Om du och din organisation använder Gemalto IDPrime .NET – tveka inte att kontakta oss för mera utförlig information. SecMaker kommer kontakta alla berörda kunder för att diskutera säkerhetsfrågan och ta fram en åtgärdsplan för dem som så önskar. En stor mängd kort är dock köpta genom återförsäljare och de kunder som använder dessa kan vi inte automatiskt spåra.

SecMaker har idag produkten Gemalto Instant EID IP10 i vårt sortiment som möjlig ersättare till Gemalto IDPrime .NET. Vi arbetar för närvarande även med att lägga till stöd för Gemalto IDPrime MD830 i våra produkter som en möjlig ersättare.

 

Yubico YubiKey
Ett antal versioner av Yubico YubiKey är drabbade av sårbarheten, se information på Yubicos hemsida hur det går att avgöra om en YubiKey är drabbad av sårbarheten eller ej. Yubico byter kostnadsfritt ut de enheter som är drabbade.

 

Vill du veta mer hur detta kommer påverka din organsition, tveka inte på att kontakta oss så svarar vi på dina frågor. 

Kontakta oss