Hacker liest Kryptoschlüssel aus TPM-Chip aus

Mit viel Aufwand ist es einem US-Hacker gelungen, ein Trusted Platform Module (TPM) von Infineon zu knacken. Er konnte die im TPM-Chip gespeicherten Daten auslesen, etwa kryptografische Schlüssel (RSA, DES), wie sie auch Microsofts BitLocker auf geeigneten Mainboards benutzt.

TPM-Hardware enthält logische und physikalische Gegenmaßnahmen auf unterschiedlichen Ebenen, um diverse Angriffe wie differenzielle elektromagnetische Analysen (DEMA) und sogar das Eindringen in das Gehäuse zu erschweren. Mit den ausgelesenen Schlüsseln kann ein Angreifer ohne Passwort die auf einer Festplatte verschlüsselt abgelegten Daten im Klartext auslesen.

Der in der Vergangenheit als Smartcard-Hacker bekannt gewordene Christopher Tarnovsky von Flylogic Engineering hat auf der vergangenen Sicherheitskonferenz Black Hat DC seine Arbeiten vorgeführt. So ist es ihm offenbar gelungen, einem im TPM verwendeten und aus der "SLE 66CLX360PE"-Familie stammenden Prozessor auf den Zahn zu fühlen. Dazu musste er zunächst den eigentlichen Chip aus dem Gehäuse extrahieren, wozu er diverse Verfahren mit Flüssigkeiten und Gasen in seinem Speziallabor durchführte (ein Video dazu ist online verfügbar).

Anschließend arbeitet er sich durch die verschiedenen Ebenen des Chips, wobei er unter anderem ein Focused-Ion-Beam-Mikroskop und Photoshop einsetzte, um den Aufbau des Chips zu verstehen und einen Weg in das Herz des TPMs zu finden. Danach analysierte er die Signalverläufe auf dem Chip, um schließlich Zugriff auf den Datenbus den Prozessor zu erhalten. Bis hierhin hatte Tarnovsky rund sechs Monate benötigt und zahlreiche TPM-Chips verschlissen. Das Auslesen eines Lizenzschlüssels aus einer XBox 360, in der Infineons TPM ebenfalls steckt, soll ihn dann jedoch nur noch sechs Stunden gekostet haben.

Laut Tarnovsky soll Infineon bislang abgestritten haben, dass derartige Angriffe machbar seien. Dem widerspricht der Leiter der Produktsicherheit für Chip Cards & Security bei Infineon, Peter Laackmann, gegenüber heise Security. Man streite die Möglichkeit erfolgreicher Angriffe gar nicht ab. TPM-Chips seien nicht unknackbar und würden auch so nicht beworben. Vielmehr sei die Möglichkeit eines solchen Angriffs bereits während einer früheren Evaluierungsphase bekannt gewesen – und man habe ihn intern bereits vor Längerem selbst erfolgreich durchgeführt. Allerdings müsse man dem Aufwand Rechnung tragen, die ein solcher Angriffe erfordere – selbst Tarnovsky gebe ja zu, dass die durchgeführten Schritte nicht einfach nachzuvollziehen seien und es einiges an Spezialausstattung benötige. Tarnovsky nennt rund 200.000 US-Dollar als erforderliche Investition in Laborgeräte – was aber für ein neues Geschäftsmodell sicherlich keine unüberwindbare Hürde bedeuten dürfte.

Zudem sei die Produktfamilie laut Laackmann mittlerweile veraltet, und der nun geknackte Prozessor war eigentlich für den Einsatz in Smartcards vorgesehen. Eine neue Generation von TPM-Chips soll auf der SLE78-Familie aufbauen, die nicht nur zusätzliche Maßnahmen gegen das Eindringen in das Gehäuse enthalte, sondern zudem zusätzliche kryptografische Funktionen nutze. Dann soll sich selbst nach einem Einbruch in das Gehäuse ein Mitschnitt des Datenbusses nicht mehr auswerten lassen, da die Daten verschlüsselt sind. Infineons Konzept des Integrity Guard sieht vor, dass gar keine Daten mehr im Klartext übertragen und verarbeitet werden. Diese neuen Chips sind allerdings bislang kaum verbaut.

Welche Konsequenzen der Hack etwa für die vielen TPM-geschützten Systeme im Unternehmenseinsatz hat, ist schwer zu sagen. Es ist kaum davon auszugehen, dass Kriminelle mittelfristig in der Praxis solche Angriffe nachvollziehen. Allerdings könnten Nachrichtendienste die Technik bei gezielten Angriffen nutzen – vielleicht tun sie das ja auch bereits. Tarnovsky will seine Technik zwar nicht im Detail veröffentlichen – aber auch er ist Geschäftsmann. Demnächst will er die Sicherheit von TPMs anderer Hersteller testen. (dab)