新闻快讯
< >

IEEE-P1735标准被曝漏洞 可暴露知识产权

E安全11月7日讯 IEEE P1735标准被曝存在加密漏洞,攻击者可获取明文知识产权。

IEEE-P1735标准被曝漏洞 可暴露知识产权-E安全

电气和电子工程师协会(IEEE,国际性的电子技术与信息科学工程师的协会)P1735标准描述了针对芯片、系统级芯片(SoC)、集成电路和其它电子设备硬件和软件内部操作信息加密的一系列方法和技术。 该标准用以保护商业电子设计的知识产权(IP),并允许硬件和软件厂商混合代码打造新产品,同时保护防止逆向工程和知识产权窃取。

即IEEE P1735是底层硬件组件的DRM(数字版权管理)标准,允许不同制造商在加密的情况下共同运作代码。大多数的硬件和软件厂商使用IEEE P1735保护网络。

专家检验P1735标准

为调查IEEE P1735是否易遭遇一系列常见加密攻击,美国佛罗里达大学五名研究人员最近审查了该标准并发现IEEE P1735存在漏洞,最大的问题是其中一个严重的漏洞允许攻击者绕过加密安全保护机制并可获得明文知识产权。

获取此类信息相当危险,因为这可能会导致竞争对手窃取对方的工作成果,使小型企业面临倒闭,形成市场垄断或双头垄断市场,从而控制产品价格。

IEEE-P1735标准被曝漏洞 可暴露知识产权-E安全

此外,虽然其它漏洞不允许访问知识产权信息,但攻击者可在P1735标准的协助下将硬件木马隐藏在产品中。

大多数情况下,不同公司的知识产权内容针对同一设备,某一家公司可以利用这些漏洞破坏公平竞争,确保制造商只购买自己的知识产权。

研究人员发现7个重要的加密漏洞

研究人员在该标准中发现的漏洞如下:

  • CVE-2017-13091:新型电子商务模式 CBC模式下, Padding不正确,从而可将EDA工具作为解密Oracle。

  • CVE-2017-13092: HDL语法错误,从而可将EDA工具(大致可以分为芯片设计辅助软件、可编程芯片辅助设计软件、系统设计辅助软件等三类)作为解密Oracle。

  • CVE-2017-13093: 修改加密的知识产权密文,植入硬件木马。

  • CVE-2017-13094: 修改加密密钥,并在知识产权中植入硬件木马。

  • CVE-2017-13095: 修改针对授权许可的许可驳回响应。

  • CVE-2017-13096: 修改Rights Block,取消或放宽访问控制。

  • CVE-2017-13097: 修改Rights Block,取消或放宽访问控制。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。