Angriffe auf Trusted Platform Modules von Intel und STMicroelectronics
"TPM-Fail" extrahiert geheime ECDSA-Schlüssel aus dem vermeintlich geschützten Speicher von Intels fTPM 2.0 und einem ST33-TPM von STMicroelectronics.
Abermals weisen Sicherheitsforscher bedenkliche Schwachstellen in zertifizierten Trusted Platform Modules (TPMs) nach. Der Angriff TPM-Fail kratzt am grundsätzlichen TPM-Konzept. Denn erstens soll ein solches TPM kryptografische Geheimnisse besonders sicher schützen, und zwar als zusätzliche Instanz unabhängig von Hauptprozessor und Betriebssystem. Zweitens durchlaufen derartige TPMs aufwendige Zertifizierungen in Speziallabors, die sie auf Schwachstellen abklopfen.
TPM-Fail weist nun am Beispiel des TPM-Chips STMicroelectronics ST33TPHF2ESPI und des weit verbreiteten Firmware-TPMs Intel fTPM 2.0 nach, dass der Schutz zu schwach ist: Den Experten gelang es jeweils, den geheimen Schlüssel für den Elliptic Curve Digital Signature Algorithm (ECDSA) durch eine im Prinzip altbekannte Timing-Attacke auszulesen.
[2. Update:] Mittlerweile sind erste BIOS- und Firmware-Updates sowie Prüfsoftware [1] für Intel-Systeme verfügbar.
Übersehene Schwachstellen
Außerdem haben Zertifizierungen diese Schwachstellen übersehen: Beide TPM-Implementierungen erfüllen laut ihren Herstellern die Vorgaben von FIPS 140-2, das ST33TPHF2ESPI [2] zusätzlich die nach Common Criteria Evaluation Assurance Level 4+ (CC EAL 4+).
Schließlich zeigen die Reaktionen von Intel und STMicroelectronics (ST), dass trotz koordinierter Veröffentlichung mit langen Geheimhaltungsfristen noch Firmware-Updates fehlen – ganz abgesehen davon, dass das Patchen der Firmware sehr aufwendig sein kann.
Betroffene Systeme
Die praktischen Auswirkungen von TPM-Fail hängen von der Nutzung des betroffenen Schlüsselalgorithmus ab. Microsoft hat das Security Advisory ADV190024 zu TPM-Fail [3] herausgegeben und stellt klar, dass Windows keine ECDSA-Schlüssel nutzt, beispielsweise nicht für BitLocker. Daher ist Windows nicht direkt von TPM-Fail betroffen. Windows-Software, die ECSDA-Schlüsseln des TPM vertraut, kann aber betroffen sein.
Beispielsweise lässt sich OpenSSL für VPN-Verbindungen so konfigurieren, dass es ECDSA-Signaturen des TPM [4] verwendet. Dann gelang es den TPM-Fail-Entdeckern, über eine schnelle Netzwerkverbindung im Laufe von mehreren Stunden dermaßen viele Zugriffe auszuführen, dass sich aus winzigen Zeitunterschieden bei der ECDSA-Verarbeitung auf den geheimen Schlüssel im TPM schließen ließ.
Ältere TPM-Lücke bekannt
Bereits 2017 war die ROCA-Lücke im RSA-Algorithmus von TPM-1.2-Chips von Infineon [5] bekannt geworden. Das Einspielen von Firmware-Updates mit Patches war bei manchen Systemen sehr aufwendig, weil TPM-Chips als Hardware-Vertrauensanker (Root of Trust, RoT) in exponierten Embedded Systems stecken oder weil bei Windows-Rechnern zunächst die BitLocker-Verschlüsselung umgestellt werden musste [6], um Updates ohne Datenverlust einzuspielen.
TPM-2.0-Fail
Die neue Schwachstelle namens TPM-Fail betrifft nur bestimmte TPM-2.0-Chips der Firma STMicroelectronics sowie Intels weit verbreitete Firmware-TPM-Implementierung (fTPM 2.0) in den meisten PCs, Notebooks, Tablets, Servern und Embedded Systems mit aktuellen Intel-Chips.
Das TPM ST33TPHF2ESPI mit SPI-Anschluss – es gibt auch eine Variante mit I²C – kommt laut den TPM-Fail-Entdeckern in manchen Lenovo-Notebooks zum Einsatz.
(Bild: TPM-Fail)
Intel-Updates
Intel hat am 12. November eine riesige Liste von Sicherheitsupdates [7] veröffentlicht, darin unter Intel Security Advisory SA-00241 [8] (CVE-2019-11090) auch Firmware-Updates für betroffene fTPM-2.0-Implementierungen. Verwirrend ist dabei, dass das fTPM je nach Plattform Teil verschiedener Firmware-Pakete ist.
- Bei Core-i-Prozessoren spricht Intel von Platform Trust Technology (PTT), hier sind Firmware-Versionen ab 11.8.65, 11.11.65, 11.22.65, 12.0.35, 13.0.1201 beziehungsweise 14.0.10 geschützt.
- Bei (Xeon-)Servern spricht Intel von Intel Server Platform Services (SPS), geschützt sind Firmware-Versionen ab SPS_E5_04.01.04.297.0, SPS_E3_04.01.04.083.0, SPS_SoC-X_04.00.04.101.0 und SPS_SoC-A_04.00.04.193.0.
- Bei Atom-Chips, Atom-Celerons und Pentium Silver spricht Intel von Trusted Execution Engine (TXE), geschützt sind Firmware-Versionen ab 3.1.65 und 4.0.15.
Die nötigen Firmware-Updates lassen sich je nach System entweder in Form eines BIOS-Updates einspielen (Supermicro pflegt etwa eine Liste betroffener Server-Mainboards [9]) oder über (Windows-)Software, die die ME-Firmware erneuert.
Dabei stiftet Intel zusätzliche Verwirrung, weil es nicht immer konkret den PTT-Firmware-Stand erwähnt, sondern den der ME-Firmware (Management Engine). Intels Marketing bevorzugt für die ME wiederum den Begriff CSME (Converged Security and Management Engine). Für aktuelle Mini-PCs der NUC-Familie scheint es jedenfalls noch keine Updates zu geben, die aktuelle BIOS-Version für mehrere NUC8i-Typen ist 0075 vom 23. Oktober und enthält laut Release Notes [10] noch die "ME Firmware 12.0.32.1421".
Eine Software zum Auslesen der CSME-Version [11] ist zwar verfügbar, aber auch noch nicht an SA-00241 angepasst.
ST-Firmware-Update
ST informiert bisher nur sehr knapp [12] über die Möglichkeit, die betroffenen TPM-Chips per Firmware-Update zu schützen (CVE-2019-16863). Eine neue, wiederum zertifizierte Firmware stehe bereit. Das TPM-Fail-Team bestätigt, dass aktuelle ST33-Chips nicht von der Lücke betroffen sind.
[Update:] Die Zertifizierung des ST33TPHF2E [13] erfolgte durch das französische Labor Thales TCS-CNES. Welche Prüfungen grundsätzlich erfolgen können, erklärt der Bericht über einen Besuch bei TÜViT [14]. [/Update]
Paper zu TPM-Fail:
- Daniel Moghimi, Berk Sunar (Worcester Polytechnic Institute), Thomas Eisenbarth (Uni Lübeck), Nadia Heninger (University of California San Diego): TPM-Fail, TPM meets Timing and Lattice Attacks [15]
(ciw [16])
URL dieses Artikels:
https://www.heise.de/-4585573
Links in diesem Artikel:
[1] https://www.heise.de/news/Schwachstelle-TPM-Fail-Erste-Updates-und-Testsoftware-von-Intel-4587272.html
[2] https://www.st.com/content/st_com/en/products/secure-mcus/authentication/authentication/st33tphf2espi.html
[3] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190024
[4] https://github.com/tpm2-software/tpm2-tss-engine
[5] https://www.heise.de/news/Hunderttausende-Infineon-Sicherheits-Chips-weisen-RSA-Schwachstelle-auf-3864691.html
[6] https://support.microsoft.com/de-de/help/4096377/windows-10-update-security-processor-tpm-firmware
[7] https://www.heise.de/news/Intel-fixt-Sicherheitsluecken-und-enthuellt-nebenbei-eine-neue-ZombieLoad-Variante-4584543.html
[8] https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00241.html
[9] https://www.supermicro.com/en/support/security_Intel_IPU2019.2_Update
[10] https://downloadmirror.intel.com/29189/eng/BE_0075_ReleaseNotes.pdf
[11] https://www.intel.de/content/www/de/de/support/articles/000031784/technologies.html
[12] https://www.st.com/content/st_com/en/campaigns/tpm-update.html
[13] https://www.commoncriteriaportal.org/files/epfiles/anssi-cc-2019_53fr.pdf
[14] https://www.heise.de/select/ct/2018/5/1520028386174688
[15] http://tpm.fail/
[16] mailto:ciw@ct.de
Copyright © 2019 Heise Medien