研究人员发现RSA加密部署中存在一个漏洞，该漏洞可能使攻击者窃取易受攻击设备的密钥。

来自捷克共和国Masaryk大学、英国网络安全管理公司Enigma Bridge和意大利Ca’ Foscari大学的研究小组将他们发现的这个漏洞称为Return of Coppersmith’s Attack（ROCA，铜匠的回击），并表示该RSA算法漏洞“存在于Infineon Technologies AG生产的各种密码芯片中使用的加密库的RSA密钥对生成过程中”。

研究人员表示，这个ROCA RSA漏洞（CVE-2017-15361）影响着“至少自2012年以来”使用Infineon芯片的主流设备。

“该算法漏洞的特点是生成的RSA素数的特定结构，这使得分解常用密钥长度（包括1024和2048位）成为可能，”研究人员指出，“只需要知道公钥即可，而不需要对易受攻击设备进行物理访问。这个漏洞并不依赖于随机数生成器的漏洞-易受攻击芯片生成的所有RSA密钥都会受到影响。”

根据研究人员表示，利用该ROCA RSA漏洞的成本取决于密钥的长度，512位RSA密钥需要2个CPU小时或者6美分，1024位RSA密钥需要97个CPU小时或者40到80美元，而2048位RSA密钥则“实际可能”需要140.8个CPU年，或者2万到4万美元。不过，目前4096位RSA密钥实际上不可分解，但如果攻击得到改进，可能会变成可分解。

ROCA RSA漏洞的影响

该研究团队发布了工具来测试易受ROCA RSA漏洞影响的设备，截至此文章发表前，专家发现来自谷歌、惠普和联想等供应商的一些可信平台模块或智能卡面临风险，某些Yubikey设备可能已经导致生成有缺陷的SSH和GPG密钥。

虽然ROCS RSA漏洞的风险各不相同，并取决于攻击者是否知道受害者的公钥，研究人员称：“私钥可能被滥用来冒充合法持有者、解密敏感信息、伪造签名（例如软件发布）和其他相关攻击。”

Bitglass公司首席技术官Anurag Kahol表示，加密是数据保护的强大工具，但只有正确部署才可发挥其作用。

“在这种情况下，私钥可从公钥中派生出来，部署过程存在缺陷，”Kahol称，“对于选择加密数据的企业和政府而言，密钥管理（安全地存储密钥、主密钥和别名转到该主密钥）对数据保护非常重要。”

微软、谷歌、惠普、联想和富士通等主要供应商已经发布软件更新来降低ROCA RSA漏洞风险。Yubico称，该漏洞影响着2%使用“PIV智能卡和 YubiKey 4平台的OpenPGP功能”的客户，该公司已经为Yubikey 4个版本（4.2.6到4.3.4）用户提供缓解技术。

Synopsys公司安全顾问Jesse Victors称，ROCA RSA漏洞更加证明加密的脆弱性。

“到今年，RSA已经出现40年，我们是仍然难以正确使用和部署它。在1977年RSA算法被认为速度快但不安全，必须谨慎部署以避免攻击和信息泄露，”Vicors称，“目前已经有很多方案来解决其缺陷，我认为这是RSA设计和标准复杂性导致的漏洞。然而，RSA是我们最好的公钥加密方案之一，它不会很快消失。”