微軟、谷歌、惠普、聯想和富士通，幾大科技巨頭警告客戶：德國半導體制造商英飛凌科技生產的某些芯片，受加密相關嚴重漏洞影響。

　　可信平臺漏洞可使攻擊者獲取RSA私鑰

　　該漏洞編號為CVE-2017-15361，與可信平臺模塊(TPM)相關。TPM是一個國際標準，用于保護計算設備中的加密過程，安全存儲密鑰、口令、證書和其他敏感數據。為保護硬件安全，一些英飛凌微控制器中實現了TPM。

　　該問題在于，TPM產生的RSA密鑰（比如出于磁盤加密目的），可因所謂“快速質數”技術的使用而被破解?！翱焖儋|數”是一種幫助加速RSA公/私鑰對產生的算法。

　　捷克馬薩里克大學、英國 Enigma Bridge 公司，以及意大利威尼斯東方大學的一組研究人員，發現了該問題。

　　據介紹，該漏洞可致知曉公鑰的攻擊者獲取到RSA私鑰。此類攻擊可遠程進行，漏洞芯片產生的所有的密鑰都受影響。研究人員稱：1024比特的RSA密鑰，用一片老式英特爾Xeon處理器，花40-80美元，在97個CPU日之內即可破解；而2048比特的密鑰，要用 140 CPU 年，且花費在2萬到4萬美元之間。英飛凌估測，如果使用600個CPU，2048比特密鑰可在1個月之內被破解。

　　私鑰可被用于冒充合法擁有者、解密敏感消息、偽造簽名（比如軟件發布），還有其他相關攻擊。

　　當然，漏洞的切實后果，取決于使用場景、公鑰可用性和所用密鑰長度。研究員們發現并分析了多個領域中的脆弱密鑰，包括電子公民文件、身份驗證令牌、可信啟動設備、軟件包簽名、TLS/HTTPS密鑰和PGP。目前已確認的脆弱密鑰數量約有76萬個，但實際脆弱密鑰數量可能多出2到3個數量級。

　　漏洞的完整技術細節，將在11月初舉行的ACM計算機與通信安全大會(CCS)上公布。

　　受影響科技巨頭發布安全公告

　　該漏洞在1月底被發現，2月報告給了英飛凌。該公司一直在與受影響硬件原始設備制造商(OEM)和PC制造商合作解決該問題。

　　英飛凌發布了一個固件更新，為該漏洞打上補丁。而微軟、谷歌、惠普、聯想和富士通，則已發布安全公告提請客戶注意。

　　微軟稱，尚未發現利用該漏洞的任何攻擊，但已發布Windows安全更新，并警告用戶：TPM固件更新仍需安裝，且之前創建的密鑰都應重新發布。

　　惠普也發布了諸多更新，包括其多款筆記本電腦、移動工作站、瘦客戶端、商用臺式機、零售系統和工作站臺式機。受影響型號有：Chromebook、Elite、EliteBook、mt和t瘦客戶端、Pro、ProBook、Stream、ZBook、ZHAN、260 G1/G2、280 G1/G2、406 G1/G2、Elite Slice、EliteDesk、EliteOne、ElitePOS、MP9、ProDesk、ProOne、RP9、Z工作站、Envy、Spectre和OMEN X。

　　聯想稱其多款產品不受該漏洞影響。受影響設備僅有各型ThinkCentre、ThinkPad和ThinkStation。

　　谷歌則公布了受影響Chromebook列表。該公司稱， Chrome OS 依賴TPM產生的RSA密鑰實現幾個功能，包括延緩暴力破解攻擊、硬件支持的密鑰和證書，以及 Verified Access 認證過程。

　　富士通發布了多款工具以解決其受影響產品中的漏洞，包括OEM主板、ESPRIMO臺式機、FUTRO瘦客戶端、CELSIUS工作站、LIFEBOOK筆記本電腦、STYLISTIC平板和PRIMERGY服務器。

　　英飛凌表示，WinMagic全盤加密軟件同樣受到了影響，但該軟件目前尚無任何通告。

責任編輯：韓希宇