د ووسټر پولی تخنیک انسټیټیوټ، د لوبیک پوهنتون او د کالیفورنیا پوهنتون، سان ډیاګو څخه د څیړونکو یوه ډله د اړخ چینل برید طریقه چې د TPM (د باور وړ پلیټ فارم ماډل) کې زیرمه شوي شخصي کیلي بیرته ترلاسه کولو ته اجازه ورکوي. برید کوډ نومول شوی و. او fTPM اغیزه کوي ( د فرم ویئر پر بنسټ، د CPU دننه په جلا مایکرو پروسیسر چلول) د انټیل څخه (CVE-2019-11090) او د STMicroelectronics چپسونو کې هارډویر TPM (CVE-2019-16863).
څیړونکي د برید لپاره یو پروټوټایپ اوزار کټ رامینځته شو او د ECDSA او EC-Schnorr elliptic curve الګوریتمونو په کارولو سره د ډیجیټل لاسلیکونو تولید لپاره کارول شوي 256-bit شخصي کیلي بیرته ترلاسه کولو وړتیا وښودل شوه. د لاسرسي حقونو پورې اړه لري، د Intel fTPM سیسټمونو باندې د برید ټول وخت له 4 څخه تر 20 دقیقو پورې دی او د 1 څخه تر 15 عملیاتو تحلیل ته اړتیا لري. د ST33 چپ سره په سیسټمونو باندې برید نږدې 80 دقیقې او د نږدې 40 ډیجیټل لاسلیک تولید عملیاتو تحلیل ته اړتیا لري.
څېړونکو د لوړ سرعت شبکو باندې د لرې برید ترسره کولو وړتیا هم وښودله، چې دوی ته یې اجازه ورکړه چې د لابراتوار شرایطو لاندې په 1GB محلي شبکه کې په پنځو ساعتونو کې شخصي کیلي بیرته ترلاسه کړي، وروسته له دې چې د 45 تصدیق غونډو لپاره د غبرګون وخت اندازه کړي چې د قوي سوان پر بنسټ VPN سرور سره خپلې کیلي په زیان منونکي TPM کې ذخیره کوي.
د برید طریقه د ډیجیټل لاسلیک تولید په جریان کې د عملیاتو د اجرا کولو وختونو کې د توپیرونو تحلیل پر بنسټ والړ ده. د محاسبې ځنډ اټکل کول یو چا ته اجازه ورکوي چې د بیضوي منحني عملیاتو کې د سکیلر ضربونو په جریان کې د انفرادي بټونو په اړه معلومات وټاکي. د ECDSA لپاره، د ابتدايي ویکتور (nonce) په اړه د معلوماتو حتی یو څو بټونو ټاکل د برید ترسره کولو لپاره کافي دي ترڅو په ترتیب سره ټوله شخصي کیلي بیرته ترلاسه کړي. یو بریالی برید د برید کونکي ته د پیژندل شوي معلوماتو په اړه رامینځته شوي څو زره ډیجیټل لاسلیکونو د نسل وختونو تحلیل ته اړتیا لري.
زیان منونکی STMicroelectronics د خپلو چپسونو یوه نوې نسخه کشف کړه، چې پکې د ECDSA الګوریتم پلي کول د اجرا کولو وختونو سره د اړیکو څخه خلاص وو. په زړه پورې خبره دا ده چې اغیزمن شوي STMicroelectronics چپس په هغو تجهیزاتو کې هم کارول کیږي چې د عام معیار (CC) EAL 4+ امنیت کچه پوره کوي. څیړونکو د انفینون او نووټون څخه د TPM چپس هم ازموینه وکړه، مګر وموندله چې دوی د محاسبې وخت توپیرونو پراساس لیک نه دی ښودلی.
دا ستونزه د انټل پروسسرونو باندې د هاسویل کورنۍ راهیسې اغیزه کوي، چې په ۲۰۱۳ کال کې خپره شوه. راپور ورکړل شوی چې دا ستونزه د ډیل، لینوو او HP په ګډون د مختلفو تولیدونکو لپټاپونو، کمپیوټرونو او سرورونو پراخه لړۍ اغیزه کوي.
انټیل یو فکس پکې شامل کړی دی د فرم ویئر تازه کول، کوم چې د پوښتنې لاندې ستونزې سربیره، نور ۲۴ زیانمننې، چې نهه یې د لوړې شدت او یو یې د جدي والي درجه بندي شوی دی. د دې مسلو لپاره یوازې عمومي معلومات چمتو شوي، د بیلګې په توګه، دا یادونه شوې چې د جدي زیانمننې (CVE-2019-0169) وړتیا لري چې د انټیل CSME (Converged Security and Management Engine) او انټیل TXE (Trusted Execution Engine) چاپیریالونو کې د ګڼې ګوڼې لامل شي، چې بریدګر ته اجازه ورکوي چې خپل امتیازات زیات کړي او حساس معلوماتو ته لاسرسی ومومي.
تاسو هم کولی شئ یادونه وکړئ د مختلفو SDKs د پلټنې پایلې د هغو غوښتنلیکونو د پراختیا لپاره تحلیل شوې چې د جلا شویو سیمو دننه د چلولو کوډ سره تعامل کوي. اته SDKs د هغو ستونزمنو دندو پیژندلو لپاره تحلیل شوي چې د بریدونو لپاره کارول کیدی شي: , , , ,
и د انټیل ایس جي ایکس لپاره، د RISC-V لپاره او د سانکوس TEE لپاره. د پلټنې په جریان کې، ۳۵ زیانمننې، چې پر بنسټ یې د برید څو سناریوګانې رامینځته شوې، یو کس ته اجازه ورکوي چې د انکلیو څخه د AES کیلي راوباسي یا د حافظې د فساد لپاره شرایط رامینځته کولو سره د خپل کوډ اجرا تنظیم کړي.
سرچینه: opennet.ru
