Ni siquiera los fabricantes de electrónica se libran de los fallos de seguridad. Un grupo de expertos en seguridad ha detectado que los chips del fabricante Infineon, utilizados en una amplia variedad de microcontroladores, generan una clave RSA que no es segura. Concretamente, aquellos que forman parte del estándar conocido como TPM.
Del inglés Trusted Platform Module, está reconocido a nivel internacional, sirviendo para crear procesadores que serán generarán claves para proteger contraseñas, certificados o claves de cifrado almacenadas a nivel de chip.
Para ser más exactos, se microcontroladores dedicados que se integran en las placas base de ordenadores, smartphones, hardware de vehículos o cualquier dispositivo que posea cierta complejidad. Su finalidad es ofrecer cierto aislamiento de la información más sensible, ofreciendo los pasos necesarios para llevar a cabo la autenticación del resto de hardware y así acceder a la información protegida.
Pero todo parece indicar que los chips TPM del fabricante Infineon no está ofreciendo las medidas necesarias de forma óptima.
Insistimos en que es solo esté fabricante el que se ha visto afectado, porque en un principio se corrió la voz de que eran varios los afectados. Finalmente, solo es la electrónica TPM de este la afectada.
Detalles del fallo de seguridad del hardware de Infineon
Aunque se haya hecho pública esta semana, fue descubierta la pasada semana. Tal y como ya hemos indicado, el problema radica en la generación de claves RSA que no poseen la seguridad adecuada. La especificación hardware TPM que se ha visto afectada es la 1.2 y la 2.0, aunque el fabricante no ha descartado por el momento que este listado sea mayor.
La vulnerabilidad detectada permite realizar un ataque contra RSA de 1024 bits y sobre RSA de 2048 bits. Los chips afectados parece que son todos aquellos que se fabricaron a principios del año 2012, aunque la acotación no es que sea realmente precisa. El cifrado RSA protege la información con una doble clave privada y pública. La vulnerabilidad permite el conocimiento de la clave privada.
La publicación de algunos detalles se debe a que el fabricante germano se puso la semana pasada manos a la obra y publicó una actualización de firmware que era capaz de resolver este problema. Tal y como veremos a continuación, es cuestión de tiempo que todos los fabricantes de los equipos afectados lancen actualizaciones para solucionar el problema.
Lista de fabricantes afectados
Que sea solo Infineon no quiere decir que el listado de fabricantes afectados no sea importante. Aunque aún podíamos decir que es información provisional, la realidad es que el siguiente listado nos hace ver cuál es la magnitud del problema de seguridad: Acer, ASUS, Fujitsu, HP, Lenovo, LG, Samsung, Toshiba o incluso los fabricantes de Chromebook se han visto afectados por este fallo de seguridad.
Algún fabricante se ha animado a hablar sobre la importancia de la vulnerabilidad. Indican que las claves generadas no son seguras y que la clave pública permite obtener la clave privada. Algunos fabricantes han indicado que están trabajando para publicar actualizaciones del firmware de los dispositivos que sean capaces de resolver este problema.
Microsoft y Google ya han publica actualizaciones para su software que permite mitigar los efectos de la vulnerabilidad, aunque no la resuelve, siendo necesaria una actualización del firmware de la placa base afectada.