Co bardziej świadomi użytkownicy kluczy YubiKey (choć chyba nie tylko) od wczoraj zapewne żyją tym, że bezpieczne klucze okazały się niekoniecznie aż tak bezpiecznie i w pewnych warunkach można je sklonować. Zacznę jednak od tego, że nie ma co panikować. Sam swoich kluczy nie wyrzuciłem, by kupić nowe (może innej firmy? ;-P), a dalej ich używam, choć są podatne (trefne), bo sprzed maja 2024, a więc mają oprogramowanie w wersji starszej niż 5.7 (podatność dotyczy też kluczy YubiHSM i YubiHSM 2 z oprogramowaniem starszym niż wersja 2.4). I tak główna zaleta w kontekście bezpieczeństwa stała się tym razem wadą, bo w kluczach tych nie można dokonać aktualizacji oprogramowania. Z jaką wersją wyjdą z fabryki, z taka zakończą swój żywot…

Na szczęście atak o nazwie Eucleak (nazwany tak przed odkrywców podatności z NinjaLab) nie jest ani prosty, ani tani, a do tego raczej nie da się go przeprowadzić tak, by nie pozostawić śladów po nim, bo wymaga nie tylko fizycznego dostępu do klucza, ale i jego rozebrania, a to może być trudne, bo cała elektronika po prostu jest zalana plastikiem, który przy okazji robi za obudowę klucza. A wszystko dlatego, że do ataku na klucz, a konkretnie układ Infineon 9 korzystający z podatnej biblioteki ECDSA wykorzystuje się… oscyloskop. Tak więc pożyczyć klucza na chwilę i zwrócić łatwo nie będzie, więc równie dobrze atakujący może sobie zachować „pożyczony” oryginał, zamiast męczyć się z próbą klonowania. Tak więc atakujący musi mieć dostęp do klucza, musi go rozebrać (procedura jednokierunkowa), posiadać odpowiedni sprzęt i sporo wiedzy… A na koniec jeszcze musi posiadać login i hasło do serwisu, gdzie korzystamy z klucza YubiKey, by moc odczytywać zachowanie klucza, gdy otrzymuje prośby o autoryzację. Więcej o podatności można przeczytać na stronie YubiKey, oraz na stronie odkrywców podatności, czyli NinjaLab (a bardziej dociekliwych może zainteresować PDF z pełnym raportem).

Natomiast nie mam wątpliwości, że służby sobie z tym poradzą, ale… na szczęście mało prawdopodobne, by większością z nas się faktycznie interesowały, a jeśli już, to klucz YubiKey pewnie i tak będzie najmniejszym zmartwieniem… ;-)

 

 

(!) Zgłoś błąd na stronie
Pomogłem? To może postawisz mi wirtualną kawę?
LUTy dla D-Cinelike (DJI Mini 3 Pro, DJI Avata, OSMO Pocket) od MiniFly
Wdrożenie Omnibusa w sklepie na WooCommerce
Jak (legalnie) latać dronem w Kategorii Otwartej
Patryk