Ẹgbẹ kan ti awọn oniwadi lati Ledger, ile-iṣẹ kan ti o ṣe agbejade awọn apamọwọ ohun elo fun cryptocurrency, ọpọlọpọ awọn ailagbara ninu awọn ẹrọ HSM (), eyiti o le ṣee lo lati yọ awọn bọtini jade tabi gbe ikọlu latọna jijin lati rọpo famuwia ti ẹrọ HSM kan. Lọwọlọwọ ijabọ iṣoro naa nikan ni Faranse, ijabọ ede Gẹẹsi ti gbero ni Oṣu Kẹjọ lakoko apejọ Blackhat USA 2019. HSM jẹ ẹrọ itagbangba amọja ti a ṣe apẹrẹ lati tọju gbogbo eniyan ati awọn bọtini ikọkọ ti a lo lati ṣe ina awọn ibuwọlu oni nọmba ati fun fifi ẹnọ kọ nkan data.
HSM ngbanilaaye lati mu aabo pọ si ni pataki, bi o ṣe ya awọn bọtini sọtọ patapata lati eto ati awọn ohun elo, pese API nikan fun ṣiṣe awọn ipilẹṣẹ cryptographic ipilẹ ti a ṣe imuse ni ẹgbẹ ẹrọ. Ni deede, HSM ni a lo ni awọn agbegbe nibiti o ti nilo aabo ipele ti o ga julọ, gẹgẹbi awọn banki, awọn paṣipaarọ cryptocurrency, ati awọn alaṣẹ ijẹrisi fun ijẹrisi ati ipilẹṣẹ awọn iwe-ẹri ati awọn ibuwọlu oni-nọmba.
Awọn ọna ikọlu ti a dabaa gba olumulo ti ko ni ijẹrisi laaye lati ni iṣakoso ni kikun lori awọn akoonu ti HSM, pẹlu yiyọ gbogbo awọn bọtini cryptographic jade ati awọn iwe-ẹri oludari ti o fipamọ sori ẹrọ naa. Awọn iṣoro naa jẹ idi nipasẹ ifipamọ aponsedanu ni oluṣakoso aṣẹ PKCS # 11 ti inu ati aṣiṣe ninu imuse ti aabo famuwia cryptographic, eyiti o fun ọ laaye lati yago fun ijẹrisi famuwia nipa lilo ibuwọlu oni nọmba PKCS # 1v1.5 ati bẹrẹ ikojọpọ ti tirẹ. famuwia sinu HSM.
Gẹgẹbi ifihan kan, famuwia ti a ṣe atunṣe ti ṣe igbasilẹ, eyiti a ṣafikun ile-ẹhin kan, eyiti o wa lọwọ lẹhin awọn fifi sori ẹrọ atẹle ti awọn imudojuiwọn famuwia boṣewa lati ọdọ olupese. O fi ẹsun kan pe ikọlu naa le ṣee ṣe latọna jijin (ọna ikọlu ko ni pato, ṣugbọn o ṣee ṣe tumọ si rirọpo famuwia ti o gbasilẹ tabi gbigbe awọn iwe-ẹri ti a fun ni pataki fun sisẹ).
A ṣe idanimọ iṣoro naa lakoko idanwo fuzz ti imuse inu ti awọn aṣẹ PKCS # 11 ti a dabaa ni HSM. A ṣeto idanwo nipasẹ gbigbe module rẹ sinu HSM ni lilo SDL boṣewa. Bi abajade, a ti rii aponsedanu ifipamọ ni imuse ti PKCS # 11, eyiti o jade lati jẹ ilokulo kii ṣe lati agbegbe inu ti HSM nikan, ṣugbọn tun nipa iwọle si awakọ PKCS # 11 lati ẹrọ iṣẹ ṣiṣe akọkọ ti kọnputa naa. eyi ti HSM module ti sopọ.
Lẹ́yìn náà, àkúnwọ́sílẹ̀ àkúnwọ́sílẹ̀ ti jẹ́ ọmọlúwàbí láti ṣiṣẹ́ kóòdù ní ẹ̀gbẹ́ HSM kí ó sì dojúkọ àwọn ìpínlẹ̀ iwọle. Lakoko iwadii kikun, ailagbara miiran jẹ idanimọ ti o fun ọ laaye lati ṣe igbasilẹ famuwia tuntun laisi ibuwọlu oni-nọmba kan. Nikẹhin, module aṣa ti kọ ati gbe sinu HSM, eyiti o da gbogbo awọn aṣiri ti o fipamọ sinu HSM silẹ.
Orukọ ti olupese ninu ẹniti awọn ẹrọ HSM awọn ailagbara ti jẹ idanimọ ko tii ṣe afihan, ṣugbọn o jẹ ẹsun pe awọn ẹrọ iṣoro naa jẹ lilo nipasẹ diẹ ninu awọn banki nla ati awọn olupese iṣẹ awọsanma. O ti royin pe alaye nipa awọn iṣoro naa ti firanṣẹ tẹlẹ si olupese ati pe o ti yọkuro awọn ailagbara ni imudojuiwọn famuwia tuntun. Awọn oniwadi olominira daba pe iṣoro naa le wa ninu awọn ẹrọ lati Gemalto, eyiti o wa ni May Sentinel LDK ṣe imudojuiwọn pẹlu imukuro awọn ailagbara, iraye si alaye nipa eyiti o tun wa .
orisun: opennet.ru