상세 컨텐츠

본문 제목

US-CERT, IEEE 표준에 존재하는 암호화 버그에 대해 경고해

국내외 보안동향

by 알약(Alyac) 2017. 11. 7. 16:40

본문

US-CERT WARNS OF CRYPTO BUGS IN IEEE STANDARD


지난 금요일 미 국토안보부가 IEEE P1735 표준에 구현 된 취약한 암호화 관련 버그에 대해 경고하였습니다.


US-CERT는 “가장 심각한 사건의 경우, 순수 텍스트 IP 전체를 복구해낼 수 있는 공격이 가능해집니다. IEEE P1735의 구현은 암호화 공격에 취약할 수 있으며, 공격자들이 키가 없이도 순수 텍스트 형태의 지적 재산권을 얻을 수 있는 등의 공격을 할 수 있습니다.”고 밝혔습니다.


Institute of Electrical and Electronics Engineers (IEEE) P1735 표준 취약점은 University of Florida의 연구원들이 발견했습니다. 지난 9월, 이 연구원들은 Standardizing Bad Cryptographic Practice (PDF)라는 논문을 발표했습니다.


전체 중 7개의 CVE ID들이 이 결함들에 부여 되었으며, 그 목록은 아래와 같습니다:


CVE-2017-13091: CBC 모드에서 부적절하게 지정 된 패딩으로 인해 EDA 툴을 해독 오라클로써 사용할 수 있도록 허용합니다.

CVE-2017-13092: 부적절하게 지정 된 HDL syntax로 인해 EDA 툴을 해독 오라클로써 사용할 수 있도록 허용합니다.

CVE-2017-13093: 암호화 된 IP 암호문을 변조해 하드웨어 트로이목마를 삽입하도록 허용합니다.

CVE-2017-13094: 암호화 키를 변조하고 어떤 IP에도 하드웨어 트로이목마를 삽입할 수 있도록 허용합니다.

CVE-2017-13095: 라이선스 거부 응답을 변조해 라이선스를 부여할 수 있도록 허용합니다.

CVE-2017-13096: 권한 차단을 변조해 접근 제어를 느슨하게 하거나 제거해버립니다.

CVE-2017-13097: 권한 차단을 변조해 라이선스 요구사항을 느슨하게 하거나 제거해버립니다.


이 CVE들은 CVSS 점수 5.7에서 6.3을 받았습니다.


CERT는 “이 버그들은 순수 텍스트 형태로 전체 IP를 복구하는 것이 가능하며, 공격자들이 P1735 워크플로우를 이용해 암호화 된 전자 설계 IP들을 복구해낼 수 있어 IP 소유자가 모르는 사이 IP 도난 및 보안이 중요한 기능들의 분석, 암호화 된 IP에 하드웨어 트로이목마를 삽입하는 등의 결과로 이어질 수 있습니다.”고 경고했습니다.


CERT는 EDA 소프트웨어에 제조사의 업데이트가 공개 되는 대로 이를 적용할 것을 권고하였습니다. 또한 EDA 소프트웨어의 개발자들은 연구원들의 보고서에서 제안 된 수정사항들을 적용할 수 있다고도 덧붙였습니다.




출처 :

https://threatpost.com/us-cert-warns-of-crypto-bugs-in-ieee-standard/128784/

https://www.kb.cert.org/vuls/id/739007

관련글 더보기

댓글 영역