Ga naar inhoud

Aanbevolen berichten

Geplaatst:

Verschillende modellen YubiKeys van fabrikant Yubico zijn kwetsbaar voor een side-channel-aanval waardoor een aanvaller private keys kan stelen en een kloon kan maken. Yubico heeft nieuwe versies uitgebracht om het probleem te verhelpen. Omdat de firmware van YubiKeys niet is te updaten, blijven oude versies permanent kwetsbaar. Volgens de fabrikant zou misbruik onderdeel van een 'geraffineerde en gerichte aanval' moeten zijn en moet een aanvaller fysieke toegang tot de YubiKey hebben.

YubiKeys zijn fysieke beveiligingssleutels waarmee gebruikers op hun accounts kunnen inloggen. Een kwetsbare cryptolibrary in de Infineon security microcontroller waar de sleutels gebruik van maken, maakt het mogelijk om via een side-channel-aanval de ECDSA secret key te achterhalen, aldus de onderzoekers van NinjaLab die het probleem ontdekten (pdf). Ze stellen dat hiervoor een paar minuten genoeg is. De kwetsbaarheid is al veertien jaar in de aanwezige library aanwezig, zo laten ze verder weten. Het uitvoeren van de aanval zou zo'n 10.000 euro aan materiaal kosten.

Bij een side-channel-aanval weet een aanvaller door alleen de werking van een apparaat, protocol of algoritme vertrouwelijke informatie af te leiden. In dit geval is de side-channel de hoeveelheid tijd die nodig is voor een wiskundige berekening, ook bekend als 'modular inversion'. De cryptolibrary van Infineon maakt geen gebruik van een bekende side-channel-verdediging genaamd constant time. Deze maatregel zorgt ervoor dat de berekeningstijd niet afhankelijk is van de invoer.

De kwetsbaarheid is aanwezig in YubiKey 5, YubiKey 5 FIPS, YubiKey 5 CSPN, YubiKey Bio, Security Key, YubiHSM 2 en YubiHSM 2 FIPS. NinjaLab informeerde Yubico op 19 april over het probleem. Op 21 mei verscheen YubiKey 5.7 waarin het probleem is verholpen. Afgelopen maandag kwam YubiHSM 2.4 uit, waarop gisteren het beveiligingsbulletin van Yubico verscheen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 4.9.

 

bron: https://www.security.nl

Dit is een verouderd onderwerp. Heb je een gelijkaardige vraag? Start dan een nieuw topic in dit forumonderdeel aub.

Doe mee aan dit gesprek

Je kunt dit nu plaatsen en later registreren. Indien je reeds een account hebt, log dan nu in om het bericht te plaatsen met je account.

Gast
Reageer op dit topic

×   Geplakt als verrijkte tekst.   Plak in plaats daarvan als platte tekst

  Er zijn maximaal 75 emoji toegestaan.

×   Je link werd automatisch ingevoegd.   Tonen als normale link

×   Je vorige inhoud werd hersteld.   Leeg de tekstverwerker

×   Je kunt afbeeldingen niet direct plakken. Upload of voeg afbeeldingen vanaf een URL in

×
×
  • Nieuwe aanmaken...

Belangrijke informatie

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.