Pametne kartice HID/ActivIdentity niso prizadete z ROCA

Pametna kartica HIDAmeriški NIST je 16. oktobra 2017 v nacionalno bazo ranljivosti dodal vnos št. CVE-2017-15361, ki opisuje napako v programski knjižnici Infineon RSA, uporabljeni v programski opremi številnih pametnih kartic in modulih varnih platform (TPM).

Omenjena ranljivost, poimenovana kot ROCA, lahko omogoča odkritje zasebnih RSA ključev, tudi brez posedovanja uporabnikove pametne kartice ali katerega od TPM. S pravilnim pristopom in informacijo o zasebnem RSA ključu ima napadalec možnost lažne identifikacije in tudi dešifriranja osebnih podatkov uporabnika.

Zaradi te odkrite ranljivosti je podjetje HID Global, proizvajalec številnih sodobnih varnostnih rešitev, opravilo temeljito analizo svojega portfelja izdelkov ter lahko potrdi, da ranljivost CVE-2017-15361 ne vpliva na pametne kartice Crescendo ali pametne ključe USB ActivKey, kar vključuje modele Crescendo 1100 in 1150, Crescendo 144K FIPS ter Crescendo PIV. Prav tako z ROCA niso prizadete njihove starejše in EOL (end-of-life) pametne kartice, ki so se prodajale pod blagovno znamko ActivIdentity (pametne kartice ActivIdentity 64K, 80K in 114K).

Več informacij o ROCA in prizadeti opremi najdete tukaj.