Un recente rapporto afferma che è possibile estrarre la chiave da BitLocker, uno strumento di crittografia sui sistemi Windows, semplicemente utilizzando il traffico SPI. Sebbene questo attacco richieda l’accesso fisico al sistema di destinazione, gli esperti affermano che è relativamente facile da completare.
Il rapporto, preparato dalla società di sicurezza F-Secure, menziona che questo attacco consiste nel tracciare l’interfaccia SPI del TRUSTED Platform Module (TPM) utilizzando strumenti disponibili per qualsiasi utente. Gli esperti hanno sviluppato uno strumento complementare per estrarre la chiave BitLocker dal traffico SPI compromesso.
TPM è un coprocessore crittografico che implementa un set predefinito di operazioni di crittografia, uno strumento di archiviazione della chiave sicura e un record di configurazione della piattaforma (PCR). Questa è una delle protezioni più comunemente utilizzate per BitLocker in quanto consente di rivelare alcuni segreti dopo aver verificato l’integrità della piattaforma.
Questa verifica si ottiene misurando ogni fase durante il caricamento e salvando i risultati sulla PCR. Il segreto può essere collegato a valori PCR specifici e può essere divulgato solo se lo stato PCR corrente corrisponde a questi valori originali.
Di solito il chip TPM è un modulo separato sulla scheda madre, mentre la CPU comunica con questo chip attraverso l’hub della piattaforma (PCH). La specifica TPM descrive tre diverse interfacce: LPC, I2C e SPI. Serial Peripheral Interface (SPI) è un protocollo di comunicazione seriale sincrono che supporta comunicazioni full duplex a una frequenza di clock ad alta velocità.
L’accesso al chip TPM di solito richiede lo smontaggio del dispositivo di destinazione, il che non è molto pratico. Tuttavia, il firmware UEFI è spesso archiviato su un chip flash basato su SPI che ha un pacchetto SOIC-8. Questo tipo di imballaggio è molto facile da collegare alle sonde convenzionali e poiché più dispositivi possono essere collegati allo stesso bus SPI, è probabile che il chip flash e il chip TPM utilizzino lo stesso bus.
Inoltre, il chip flash di solito è accessibile solo rimuovendo la cover posteriore o la tastiera e quindi il chip flash è un obiettivo ideale per ascoltare i messaggi sul bus SPI. Questa tattica elimina la necessità di risaldare l’attrezzatura e l’attacco può essere eseguito in un momento conveniente.
Nella loro demo, gli esperti hanno utilizzato un laptop Dell Latitude E5470 con Windows 10 compatibile con BitLocker; in questo particolare modello, è possibile accedere al TPM rimuovendo la cover posteriore del dispositivo. Il chip Nuvoton NPCT650JAOYX TPM 2.0 viene fornito con il pacchetto QFN-32 e non è possibile testare direttamente il chip. I pin di temporizzazione di entrambi i chip sono uniti, confermando che stanno utilizzando lo stesso bus SPI.
Ogni dispositivo SPI ha la propria linea SS dedicata, ma il laptop scansionato ha solo due dispositivi collegati al bus. Pertanto, la linea SS del TPM può essere costruita prendendo la negazione della linea SS dal chip di memoria flash. La linea SS può anche essere semplicemente ignorata. Tuttavia, in questa situazione, è possibile decodificare lo scambio di memoria flash come scambio di dati TPM. I segnali SPI sono stati registrati utilizzando un analizzatore logico Saleae Logic Pro 8. L’ampio spazio per la presa del pacchetto SOIC-8 semplifica l’assemblaggio dei sensori e l’intero processo di acquisizione può richiedere meno di un minuto.
