英飞凌漏洞或危及西班牙 6000 万公民智能卡身份证

前景提要：捷克 Masaryk 大学的安全研究人员于今年 10 月中旬发现，德国半导体制造商英飞凌 Infineon 科技公司所采用的专用微控制器 TPM 存在一处高危漏洞 ROCA（CVE-2017-15361），允许攻击者进行因数分解攻击的同时，通过目标系统的公钥反向计算私有 RSA 加密密钥。此外，该种攻击手段影响了公司 2012 年之前生产的所有加密智能卡片、安全令牌以及其他安全硬件芯片等。

据外媒 ZDNet 11 月 17 日报道，继爱沙尼亚数周前被曝 76 万国民电子身份证受英飞凌加密漏洞 ROCA 的影响后，网络安全公司 Enigma Bridge 研究人员 Dan Cvrcek 于近期再次发现该漏洞或将危及西班牙逾 6000 万张代表国民身份的智能卡片 DNIe 。

每一张 DNIe 卡片都是独一无二的，它其中内含两款证书芯片分别用于身份识别和电子签名。据悉，攻击者可通过该漏洞在用户使用电子签名时导致合约签署失效，不过出现这一状况的部分原因还有可能是因为西班牙公民在一些重要签名时未使用时间戳进行记录。西班牙国家报《El País》 在此前的调查中写道：“虽然公民仅仅只在 0.02% 的公共服务中使用了该身份证件，但随着影响规模的不断增大，其攻击场景也会随之变得更加混乱。”

近期，虽然西班牙政府在此次事件发生后强烈建议用户在多数公共部门的自助终端上禁用该智能卡片进行电子签名，但用户仍可通过个人电脑的小型读卡器使用该卡片对其文件进行在线签名。当地警方与其他公共机构当前仍保持沉默，尚未通过社交媒体提供有关漏洞的影响以及受到影响后如何采取措施的更多信息，而西班牙巴斯克的证书颁发机构 Izenpe 目前已撤销 3 万份证书，并提供了关于如何更换证书的相关信息。

消息来源：ZDNet，译者：青楚

source: hackernews.cc.thanks for it.