ROCA 취약성

ROCA 취약성
CVE 식별자	CVE-2017-15361
검색된 날짜	2017년 2월; 4년 전(
발견자	마투시 네멕, 마렉 스스 등(마사릭 대학교)
영향을 받는 하드웨어	TPM, 유비키, 제말토 IDPrime.NET 스마트 카드
영향을 받는 소프트웨어	BitLocker 및 PGP를 포함하여 RSALIB를 사용한 모든 공용 키 암호화

ROCA 취약성은 키 쌍의 개인 키를 취약성이 있는 장치에 의해 생성된 키의 공개 키로부터 복구할 수 있는 암호 취약점이다. "로카"는 "코퍼스미스 공격의 귀환"^[1]의 약자다. 이 취약성에는 식별자 CVE-2017-15361이 부여되었다.

이 취약성은 인피니온 테크놀로지가 제공하는 소프트웨어 라이브러리 RSALIB에서 사용하는 RSA 키 생성 접근방식의 문제로 인해 발생하며, PGP 키 생성에 자주 사용되는 유비키 4 토큰을 포함한 많은 스마트 카드, TPM(신뢰할 수 있는 플랫폼 모듈) 및 HSM(하드웨어 보안 모듈) 구현에 통합되어 있다. Infineon 라이브러리를 사용하여 생성된 길이 512, 1024, 2048 비트의 키는 실제 ROCA 공격에 취약하다.^[2]^[3] 이번 공격을 발견한 연구팀은 (모두 마사릭 대학과 함께 마투시 네멕과 마렉 스스가 이끄는)^[2] 전 세계 TPM 기기의 약 4분의 1에 영향을 미친 것으로 추정하고 있다.^[4] 수백만 장의 스마트 카드가 영향을 받는 것으로 알려져 있다.^[1]

연구팀은 2017년 2월 RSALIB 문제를 인피니온에 알렸지만 책임공개를 이유로 10월 중순까지 공고를 보류했다. 당시 그들은 공격을 발표했고, 공용 키의 취약성을 시험할 수 있는 도구를 제공했다. 그들은 11월에 그 공격의 세부 사항을 발표했다.^[2]

기술적 세부사항

RSA 키를 생성하려면 무작위로 생성된 두 개의 큰 소수점(특히 스마트 카드와 같은 소형 장치에서는 시간이 많이 걸릴 수 있는 프로세스)을 선택해야 한다. 이 숫자는 소수일 뿐 아니라 최상의 보안을 위해 특정 다른 속성을 가져야 한다. 취약한 RSALIB 선택 프로세스는 폼의 소수점만 테스트하여 원하는 유형의 소수점을 신속하게 생성한다.

{\displaystyle k*M+(65537^{a}\mod {M}})

여기서 $M$ $M$ 은 $m$ (는) 첫 번째 n 연속 프라임(2, 3, 5, 7, 11, 13, ...)의 산물이며, n은 원하는 키 크기에만 의존하는 상수다. 보안은 비밀 상수 $k$ $k$ 과 $k$ (와 $)$ {\ $displaystyle a}$ 을(를) 기반으로 한다 $a$ ROCA 공격은 Copersmith 방법의 변형을 사용하여 이 특정 형식을 소수점용으로 이용한다. 또한 이렇게 생성된 공개키에는 65537의 기반인 $M$ 65537까지공개키 $M$ {\ $displaystyle$ M $}$ 의 이산 로그 계산을 시도하면 빠르게 인식할 수 있는 독특한 지문이 있다. 큰 그룹에서 이산 로그의 계산은 보통 매우 어렵지만, 이 경우 Pohlig-를 사용하여 효율적으로 수행될 수 있다. $M$ $M$ 이 $m$ (가) 매끄러운 숫자이기 때문에 헬만 알고리즘. 테스트 사이트는 인터넷에서 구할 수 있다.^[2]^[5]^[6]^[7] 요컨대 이 형식에 맞는 키는 엔트로피가 현저히 낮고 비교적 효율적으로(주 단위에서 월 단위) 공격할 수 있으며, 그 형식은 공격자가 매우 빠르게(마이크로초) 확인할 수 있다("손가락 프린트"). 그 공격의 여러 구현을 공개적으로 이용할 수 있다. ^[8]^[9]^[10]

완화

ROCA 저자들은 RSALIB에 의해 생성된 길이 512, 1024, 2048비트의 공개 키가 취약하다고 생각한다. 키 생성에 대한 세부 정보가 키 길이에 따라 다르기 때문에 키가 짧은 것이 긴 키보다 반드시 더 취약한 것은 아니다. 예를 들어 1952비트 RSAlib 키가 2048비트 키보다 강하고 4096비트 키가 3072비트 키보다 약하다.

저자들에 따르면, 가장 좋은 완화는 OpenSSL과 같은 더 강력한 방법을 사용하여 RSA 키를 생성하는 것이다. 그것이 가능하지 않을 경우, ROCA 저자들은 3936비트, 3072비트, 또는 최대 2048비트 키 크기가 있는 경우 1952비트 등 ROCA에 덜 취약한 키 길이를 사용할 것을 제안한다.^[2]^{: Sec 5.1}

인피니온은 TPM을 사용한 제조업체에 신뢰할 수 있는 플랫폼 모듈용 펌웨어 업데이트를 출시했다.^[11]

시사점

이 취약성은 공통 기준 인증 스마트 카드 제품 목록에 취약성이 존재하기 때문에 공통 기준 인증 방식의 몇 가지 단점을 부각시켰다. 즉, 자체 개발한 암호 알고리즘의 승인; 인증 보고서의 투명성 결여, 알려진 취약 제품에 대한 공통 기준 인증서를 해지할 수 없고, 인증된 제품의 사용자에게 이 정보를 배포한다.^[12]^{: Sec 6.7.5}

에스토니아에서는 취약성이 발견되면서 에스토니아 주민과 e-리거민이 매일 사용하는 75만장 이상의 에스토니아 신분증에 취약 스마트 카드 칩을 배치해 안전하게 온라인 인증과 디지털 서명을 만들면서 국가 차원의 사이버 위기가 초래됐다.^[12]^{: Sec 6.7}

참고 항목

참조

^ ^a ^b Goodin, Dan (2017-10-23). "Crippling crypto weakness opens millions of smartcards to cloning". Ars Technica. Retrieved 2017-10-25.
^ ^a ^b ^c ^d ^e Nemec, Matus; Sys, Marek; Svenda, Petr; Klinec, Dusan; Matyas, Vashek (November 2017). "The Return of Coppersmith's Attack: Practical Factorization of Widely Used RSA Moduli" (PDF). Proceedings of the 2017 ACM SIGSAC Conference on Computer and Communications Security. CCS '17. doi:10.1145/3133956.3133969.
^ Khandelwal, Swati. "Serious Crypto-Flaw Lets Hackers Recover Private RSA Keys Used in Billions of Devices". The Hacker News. Retrieved 2017-10-25.
^ Leyden, John (16 October 2017). "Never mind the WPA2 drama... Details emerge of TPM key cockup that hits tonnes of devices". United Kingdom: The Register. Retrieved 2017-10-25.
^ "ROCA: Infineon TPM and Secure Element RSA Vulnerability Guidance". www.ncsc.gov.uk. United Kingdom. Retrieved 2017-10-25.
^ "ROCA: Vulnerable RSA generation (CVE-2017-15361)". Czech Republic: Centre for Research on Cryptography and Security, Faculty of Informatics, Masaryk University. Retrieved 2017-10-25.
^ "Information on software update of RSA key generation function". Infineon Technologies AG. Retrieved 2017-10-25.
^ Bruno Produit (2019-05-15). "Implementation of the ROCA attack (CVE-2017-15361)". Retrieved 2020-06-29.
^ Florian Picca (2020-05-03). "ROCA". Retrieved 2020-06-29.
^ Shiho Midorikawa (2020-04-13). "ROCA". Retrieved 2020-06-29.
^ ""TPM Update - Infineon Technologies"". Retrieved March 19, 2021.
^ ^a ^b Parsovs, Arnis (March 2021). Estonian Electronic Identity Card and its Security Challenges (PhD). University of Tartu.

외부 링크

[Goodin2017-1] Goodin, Dan (2017-10-23). "Crippling crypto weakness opens millions of smartcards to cloning". Ars Technica. Retrieved 2017-10-25.

[nemecsys-2] Nemec, Matus; Sys, Marek; Svenda, Petr; Klinec, Dusan; Matyas, Vashek (November 2017). "The Return of Coppersmith's Attack: Practical Factorization of Widely Used RSA Moduli" (PDF). Proceedings of the 2017 ACM SIGSAC Conference on Computer and Communications Security. CCS '17. doi:10.1145/3133956.3133969.

[thehackernews-3] Khandelwal, Swati. "Serious Crypto-Flaw Lets Hackers Recover Private RSA Keys Used in Billions of Devices". The Hacker News. Retrieved 2017-10-25.

[4] Leyden, John (16 October 2017). "Never mind the WPA2 drama... Details emerge of TPM key cockup that hits tonnes of devices". United Kingdom: The Register. Retrieved 2017-10-25.

[5] "ROCA: Infineon TPM and Secure Element RSA Vulnerability Guidance". www.ncsc.gov.uk. United Kingdom. Retrieved 2017-10-25.

[6] "ROCA: Vulnerable RSA generation (CVE-2017-15361)". Czech Republic: Centre for Research on Cryptography and Security, Faculty of Informatics, Masaryk University. Retrieved 2017-10-25.

[7] "Information on software update of RSA key generation function". Infineon Technologies AG. Retrieved 2017-10-25.

[8] Bruno Produit (2019-05-15). "Implementation of the ROCA attack (CVE-2017-15361)". Retrieved 2020-06-29.

[9] Florian Picca (2020-05-03). "ROCA". Retrieved 2020-06-29.

[10] Shiho Midorikawa (2020-04-13). "ROCA". Retrieved 2020-06-29.

[11] ""TPM Update - Infineon Technologies"". Retrieved March 19, 2021.

[parsovs_phd-12] Parsovs, Arnis (March 2021). Estonian Electronic Identity Card and its Security Challenges (PhD). University of Tartu.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

Search

ROCA 취약성

네임스페이스

더

목차

기술적 세부사항

완화

시사점

참고 항목

참조

외부 링크