هشدار جدی درباره‌ی آسیب‌پذیری‌های یکی از الگوریتم‌های رمزنگاری استاندارد IEEE

آخرین پژوهش‌های دانشگاهی بر روی نقاط ضعفِ راه‌کارهای حفاظتی مبتنی‌بر رمزنگاری در پیاده‌سازی استاندارد IEEE P1735 تمرکز کرده‌اند، و وزارت امنیت داخلیِ آمریکا روز جمعه یک هشدار درباره‌ی این مسأله منتشر کرد.

مرکز پاسخ‌گویی به رخدادهای رایانه‌ای آمریکا، بخش امنیت ملی، هشدار داد که استاندارد IEEE P1735 مورد استفاده در مالکیت معنویِ طراحی الکترونیکی سخت‌افزار و نرم‌افزار است، به این ترتیب طراحان تراشه‌ها می‌توانند از مالکیت معنوی محصولات خود در برابر نفوذگران محافظت نمایند.

بسیاری از دستگاه‌های تعبیه شده حاوی یک سامانه روی تراشه (System on Chip)  هستند که می‌توانند شامل نرم‌افزارهای متفاوتی از جمله دریافت‌کننده‌ی سیگنال‌های رادیویی، مبدلِ آنالوگ به دیجیتال،‌ واحد پردازش سیگنال، واحد پردازش گرافیک و بسیار دیگر از امکانات باشند که هر یک متعلق به شرکت‌‌های نرم‌افزاری مجزا هستند و ازش معنوی زیادی برای شرکت دارند، در واقع مهم‌ترین دارایی شرکت محسوب می‌شوند. به همین دلیل برای مقابله با نفوذگرانی که تلاش می‌کنند این نرم‌افزارها را مهندسی معکوس کرده و آن‌‌ها را به سرقت ببرند، استاندارد P1735 معرفی شده است.

 

مرکز پاسخ‌گویی به رخدادهای رایانه‌ای آمریکا به نقل از محققانی که این آسیب‌پذیری‌ها را کشف کرده‌اند، گفت: «این آسیب‌پذیری در بسیاری از موارد، مهاجم را قادر می‌سازد که تمام نرم‌افزارهایی که به کمک آن‌ها رمز شده‌اند را رمزگشایی نماید. پیاده‌سازی استاندارد IEEE P1735 احتمالاً در برابر حمله‌های مبتنی‌بر رمزنگاری که به یک مهاجم اجازه می‌دهند تا بدون کلید مالکیت معنوی متن اصلی را به دست آورد، ضعیف است.»

آسیب‌پذیری استاندارد P1735 موسسه‌ی IEEE اولین بار توسط یک گروه از محققان دانشگاه فلوریدا گزارش شد. در ماه سپتامبر، این محققان یک مقاله با عنوان « Standardizing Bad Cryptographic Practice» یا استانداردسازیِ پیاده‌سازی‌های بدِ رمزنگاری، منتشر کردند.

در مجموع هفت شناسه‌ی CVE به این آسیب‌پذیری‌ها اختصاص و ضعف در استاندارد P1735 مستند شده است. شناسه‌های CVE-2017-13091 تا CVE-2017-13097 مربوط به آسیب‌پذیری این پیاده‌سازی است.

این آسیب‌پذیری‌ها امتیاز بین ۵٫۷ تا ۶٫۳ دریافت کرده‌اند که درجه‌ی خطر آن‌ها را متوسط ارزیابی می کند.

به گفته‌ی محققان، این استاندارد ناقص توسط فروشندگان ابزارهای خودکارسازی طراحی الکترونیکی از جمله شرکت Synopsys و ابزار Synplify Premier آن پذیرفته شده است. مرکز سِرت آمریکا به دیگر ارائه‌دهندگان ابزارهای خودکارسازی طراحی که ممکن است تحت تاثیر این آسیب‌پذیری قرار گرفته باشند از جمله سامانه‌های طراحی Cadence، Mentor Graphics، Xilinx و Zuken هشدار داد.

این مرکز در توصیه‌نامه‌ی خود نوشت: «این آسیب‌پذیری‌ها علاوه‌بر این که امکان بازیابی کد اصلی نرم‌افزار را فراهم می‌کند، همچنین به یک مهاجم اجازه می‌دهند تا اطلاعات طراحی الکترونیکی که با استفاده از سرریز P1735 رمزنگاری شده‌اند را بازیابی کند، در نتیجه امکان سرقت مالکیت معنوی

نرم‌افزاری و سخت‌افزاری و یا تجزیه و تحلیل ویژگی‌های حیاتی امنیتی، همچنین توانایی افزودن تروجان‌های سخت‌افزاری در یک محصول رمزنگاری‌شده بدون اطلاع مالک برای مهاجم فراهم می‌شود.»

براساس گزارش دانشگاه فلوریدا، وصله‌های اولیه‌ای که منتشر شده‌اند، به هیچ وجه کافی نیست. متاسفانه، مشاهده شده است که وصله‌های فوری برای این استاندارد و ابزارهایی که پشتیبانی می‌کند، جلوی تمام حملات را نمی‌گیرند. این نشان می‌دهد که این استاندارد نیازمند تعمیرات اساسی است، و نویسندگان نرم‌افزار و طراحان سخت‌افزاری که از رمزنگاری P1735 استفاده می‌کنند باید به یاد داشته باشند که در معرض خطر هستند.

 

مطابق این هشدار، از نتایج این آسیب‌پذیری فقط این نیست که مهاجم می‌تواند اطلاعات حساسِ طراحی الکترونیکی را بازیابی کند، بلکه باعث از دست دادن سود و اعتبار مالکان آن‌ها می‌شود و همچنین مدارهای یکپارچه با تروجان‌هایی که حاوی در پشتی هستد، ضعیف اجرا می‌شوند و یا حتی به طور کامل شکست می‌خورند.

مرکز سِرت به کاربران توصیه می‌کند که به‌روزرسانی‌های منتشرشده توسط ارائه‌دهندگان را به محض این‌که در دسترس قرار گرفتند، روی نرم‌افزارهای خودکارسازی طراحی الکترونیکی خود اعمال کنند. این مرکز  توصیه کرد: «توسعه‌دهندگان نرم‌افزار خودکارسازی طراحی الکترونیکی می‌توانند وصله‌های پیشنهادشده در مقاله‌ی محققان را به کار ببرند.»

 

 

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید