Verschillende onderzoekers hebben geconstateerd dat de wijze waarop chips van het Duitse elektronicabedrijf Infineon rsa-sleutels aanmaken, ernstige gebreken vertoont. Hierdoor is het mogelijk om met een privésleutel een publieke sleutel te ontdekken.
De Slovaakse en Tsjechische onderzoekers hebben de kwetsbaarheid, die al sinds 2012 bestaat, Roca genoemd. Een aantal bedrijven zijn er slachtoffer van geworden, waaronder Google en Microsoft.
Rsa-softwarebibliotheek
De fout zit in een rsa-softwarebibliotheek van Infineon. Deze bibliotheek is te vinden in smart cards, trusted platform-modules en ID-kaarten van Estland. Fujitsu, Google, HP, Lenovo en Microsoft hebben inmiddels patches of work-arounds ter beschikking gesteld. RSA zelf is overigens niet onveilig, aldus de onderzoekers.
Tool
Wanneer een kwaadwillende de beschikking heeft over een privésleutel, zou hij de identiteit van het slachtoffer kunnen aannemen of geëncrypt berichtenverkeer onderscheppen. De onderzoekers, Matus Nemec, Marek Sys, Petr Svenda, Dusan Klinec en Vashek Matyas, hebben zowel een online- als offlinetool ontwikkeld. Hiermee zou nagegaan kunnen worden of een publieke sleutel de kwetsbaarheid Roca bevat.