Cryptocurrency සඳහා දෘඩාංග මුදල් පසුම්බි නිෂ්පාදනය කරන සමාගමක් වන Ledger හි පර්යේෂකයන් පිරිසක්, HSM උපාංගවල දුර්වලතා කිහිපයක් (), යතුරු උකහා ගැනීමට හෝ HSM උපාංගයක ස්ථිරාංග ප්රතිස්ථාපනය කිරීමට දුරස්ථ ප්රහාරයක් කිරීමට භාවිතා කළ හැක. දැනට ගැටලුව වාර්තා කරයි ප්රංශ භාෂාවෙන් පමණක්, ඉංග්රීසි භාෂා වාර්තාව සැලසුම් කර ඇත අගෝස්තු මාසයේ Blackhat USA 2019 සම්මන්ත්රණය අතරතුර. HSM යනු ඩිජිටල් අත්සන් ජනනය කිරීමට සහ දත්ත සංකේතනය සඳහා භාවිතා කරන පොදු සහ පුද්ගලික යතුරු ගබඩා කිරීම සඳහා නිර්මාණය කර ඇති විශේෂිත බාහිර උපාංගයකි.
HSM මඟින් ඔබට ආරක්ෂාව සැලකිය යුතු ලෙස වැඩි කිරීමට ඉඩ සලසයි, එය පද්ධතිය සහ යෙදුම් වලින් යතුරු සම්පූර්ණයෙන්ම හුදකලා කරයි, උපාංග පැත්තේ ක්රියාත්මක කරන ලද මූලික ගුප්තකේතන ප්රාථමික ක්රියාත්මක කිරීම සඳහා API පමණක් සපයයි. සාමාන්යයෙන්, සහතික සහ ඩිජිටල් අත්සන් සත්යාපනය කිරීම සහ උත්පාදනය කිරීම සඳහා බැංකු, ගුප්ත ව්යවහාර මුදල් හුවමාරු කිරීම් සහ සහතික අධිකාරීන් වැනි ඉහළම මට්ටමේ ආරක්ෂාවක් අවශ්ය ප්රදේශවල HSM භාවිතා වේ.
යෝජිත ප්රහාරක ක්රම මඟින් උපාංගයේ ගබඩා කර ඇති සියලුම ගුප්ත ලේඛන යතුරු සහ පරිපාලක අක්තපත්ර උකහා ගැනීම ඇතුළුව, HSM හි අන්තර්ගතය පිළිබඳ පූර්ණ පාලනය ලබා ගැනීමට අනවසර පරිශීලකයෙකුට ඉඩ ලබා දේ. අභ්යන්තර PKCS#11 විධාන හසුරුවෙහි බෆරය පිටාර ගැලීම සහ PKCS#1v1.5 ඩිජිටල් අත්සන භාවිතයෙන් ස්ථිරාංග සත්යාපනය මඟ හැරීමට සහ ඔබේම පූරණය ආරම්භ කිරීමට ඉඩ සලසන ගුප්ත ලේඛන ස්ථිරාංග ආරක්ෂණය ක්රියාත්මක කිරීමේ දෝෂයක් නිසා ගැටලු ඇති වේ. ස්ථිරාංග HSM වෙත.
ප්රදර්ශනයක් ලෙස, නවීකරණය කරන ලද ස්ථිරාංගයක් බාගත කරන ලද අතර, එයට පසුබිම් දොරක් එකතු කරන ලදී, එය නිෂ්පාදකයාගෙන් සම්මත ස්ථිරාංග යාවත්කාලීන කිරීම් පසුව ස්ථාපනය කිරීමෙන් පසුව සක්රියව පවතී. ප්රහාරය දුරස්ථව සිදු කළ හැකි බවට චෝදනා කෙරේ (ප්රහාර ක්රමය නිශ්චිතව දක්වා නැත, නමුත් එයින් අදහස් වන්නේ බාගත කළ ස්ථිරාංග ප්රතිස්ථාපනය කිරීම හෝ සැකසීම සඳහා විශේෂයෙන් නිකුත් කරන ලද සහතික මාරු කිරීමයි).
HSM හි යෝජිත PKCS#11 විධානවල අභ්යන්තර ක්රියාත්මක කිරීමේ fuzz පරීක්ෂාවේදී ගැටලුව හඳුනා ගන්නා ලදී. සම්මත SDL භාවිතයෙන් එහි මොඩියුලය HSM වෙත පූරණය කිරීමෙන් පරීක්ෂණ සංවිධානය කරන ලදී. එහි ප්රතිඵලයක් වශයෙන්, PKCS#11 ක්රියාත්මක කිරීමේදී බෆර පිටාර ගැලීමක් අනාවරණය වූ අතර, එය HSM හි අභ්යන්තර පරිසරයෙන් පමණක් නොව, පරිගණකයේ ප්රධාන මෙහෙයුම් පද්ධතියෙන් PKCS#11 ධාවක වෙත ප්රවේශ වීමෙන්ද ප්රයෝජන ගත හැකි විය. HSM මොඩියුලය සම්බන්ධ කර ඇත.
මීළඟට, HSM පැත්තේ කේතය ක්රියාත්මක කිරීමට සහ ප්රවේශ පරාමිතීන් අභිබවා යාමට බෆර පිටාර ගැලීම ප්රයෝජනයට ගන්නා ලදී. පිරවීම අධ්යයනය කිරීමේදී, ඩිජිටල් අත්සනකින් තොරව නව ස්ථිරාංග බාගත කිරීමට ඔබට ඉඩ සලසන තවත් අවදානමක් හඳුනා ගන්නා ලදී. අවසානයේදී, අභිරුචි මොඩියුලයක් ලියා HSM වෙත පටවන ලද අතර, එය HSM හි ගබඩා කර ඇති සියලුම රහස් බැහැර කරයි.
HSM උපාංගවල දුර්වලතා හඳුනාගෙන ඇති නිෂ්පාදකයාගේ නම තවමත් අනාවරණය කර නැත, නමුත් ගැටළු සහගත උපාංග සමහර විශාල බැංකු සහ ක්ලවුඩ් සේවා සපයන්නන් විසින් භාවිතා කරන බවට චෝදනා එල්ල වේ. ගැටළු පිළිබඳ තොරතුරු මීට පෙර නිෂ්පාදකයා වෙත යවා ඇති අතර නවතම ස්ථිරාංග යාවත්කාලීන කිරීමේදී ඔහු දැනටමත් දුර්වලතා ඉවත් කර ඇති බව වාර්තා වේ. ස්වාධීන පර්යේෂකයන් යෝජනා කරන්නේ ගැටළුව මැයි මාසයේදී Gemalto වෙතින් උපාංගවල විය හැකි බවයි සෙන්ටිනල් LDK යාවත්කාලීනය අවදානම් ඉවත් කිරීම, තවමත් පවතින තොරතුරු වෙත ප්රවේශය .
මූලාශ්රය: opennet.ru