Niebezpiecznik NewsCiekawy, ale na szczęście trudny do realizacji atak klonowania kluczy Yubikey
Firma Yubico, jeden z popularnych producentów kluczy U2F poinformowała o ataku na niektóre ze swoich kluczy (lista poniżej). Problem dotyczy także innych producentów, bo błąd wykryto w bibliotece kryptograficznej obsługującej klucze ECDSA.
Zanim przejdziemy do opisu tego ataku, już na wstępie podkreślmy, że wymaga on najpierw przeprowadzenia udanego ataku phishingowego na ofierze, a potem fizycznego dostępu do klucza ofiary przez kilka minut oraz zniszczenia jego obudowy a także specjalistycznego sprzętu i wiedzy. Dlatego eksperci oceniają, że jest bardzo małoprawdopodobne, aby ta technika ataku była stosowana masowo i na zwykłych użytkownikach. Więc nie przewiercajcie jeszcze swoich kluczy U2F.
Choć faktycznie, atak jest ultratrudny do przeprowadzenia, to naszym zdaniem Yubico i tak powinno się spalić ze wstydu. Jak za chwilę zobaczycie, wykonana przez badaczy analiza i wykryty błąd nie są wybitnie odkrywcze, więc oczekiwalibyśmy, żeby to inżynierowie Yubico sami przeprowadzali tego typu testy na produkowanych przez siebie kluczach. Standardowo.
Atak Eucleak
Błąd odkryto się w mikrokontrolerze Infineon 9, a dokładniej w obsługującego go bibliotece kryptograficznej implementującej obsługę ECDSA. Ten mikrokontroler wraz z biblioteką jest używany w różnych urządzeniach wielu producentów (zapewne na dniach pojawi się więcej informacji, gdzie konkretnie). Jeśli chodzi o Yubico, to wiemy, że błąd występuje w poniższych kluczach YubiKey:
YubiKey 5 Series versions prior to 5.7
YubiKey 5 FIPS Series prior to 5.7
YubiKey 5 CSPN Series prior to 5.7
YubiKey Bio Series versions prior to 5.7.2
Security Key Series all versions prior to 5.7
YubiHSM 2 versions prior to 2.4.0
YubiHSM 2 FIPS versions [...]
#ECDSA #FIDO #FIDO2 #FIPS #HSM #Infineon9 #Kryptografia #Yubico #Yubikey
