Co bardziej świadomi użytkownicy kluczy YubiKey (choć chyba nie tylko) od wczoraj zapewne żyją tym, że bezpieczne klucze okazały się niekoniecznie aż tak bezpiecznie i w pewnych warunkach można je sklonować. Zacznę jednak od tego, że nie ma co panikować. Sam swoich kluczy nie wyrzuciłem, by kupić nowe (może innej firmy? ;-P), a dalej ich używam, choć są podatne (trefne), bo sprzed maja 2024, a więc mają oprogramowanie w wersji starszej niż 5.7 (podatność dotyczy też kluczy YubiHSM i YubiHSM 2 z oprogramowaniem starszym niż wersja 2.4). I tak główna zaleta w kontekście bezpieczeństwa stała się tym razem wadą, bo w kluczach tych nie można dokonać aktualizacji oprogramowania. Z jaką wersją wyjdą z fabryki, z taka zakończą swój żywot…
Na szczęście atak o nazwie Eucleak (nazwany tak przed odkrywców podatności z NinjaLab) nie jest ani prosty, ani tani, a do tego raczej nie da się go przeprowadzić tak, by nie pozostawić śladów po nim, bo wymaga nie tylko fizycznego dostępu do klucza, ale i jego rozebrania, a to może być trudne, bo cała elektronika po prostu jest zalana plastikiem, który przy okazji robi za obudowę klucza. A wszystko dlatego, że do ataku na klucz, a konkretnie układ Infineon 9 korzystający z podatnej biblioteki ECDSA wykorzystuje się… oscyloskop. Tak więc pożyczyć klucza na chwilę i zwrócić łatwo nie będzie, więc równie dobrze atakujący może sobie zachować „pożyczony” oryginał, zamiast męczyć się z próbą klonowania. Tak więc atakujący musi mieć dostęp do klucza, musi go rozebrać (procedura jednokierunkowa), posiadać odpowiedni sprzęt i sporo wiedzy… A na koniec jeszcze musi posiadać login i hasło do serwisu, gdzie korzystamy z klucza YubiKey, by moc odczytywać zachowanie klucza, gdy otrzymuje prośby o autoryzację. Więcej o podatności można przeczytać na stronie YubiKey, oraz na stronie odkrywców podatności, czyli NinjaLab (a bardziej dociekliwych może zainteresować PDF z pełnym raportem).
Natomiast nie mam wątpliwości, że służby sobie z tym poradzą, ale… na szczęście mało prawdopodobne, by większością z nas się faktycznie interesowały, a jeśli już, to klucz YubiKey pewnie i tak będzie najmniejszym zmartwieniem… ;-)


- Wtyczka BackWPup w wersji 5.x to doskonały przykład, jak wylać dziecko z kąpielą i z relatywnie świetnego narzędzia zrobić właściwie bezwartościowego gniota - 1970-01-01
- Testowy przelew w Bitcoinach z najniższą prowizją, czyli krótka historia o tym, jak zamroziłem BTC na (ponad) rok - 1970-01-01
- Nowy system kopii zapasowych w Home Assistant 2025.1 to zapewne krok w dobrym kierunku, ale zdecydowanie przedwczesny - 1970-01-01