
Podatność klucza Yubikey 4 – Podpowiadamy jak wymienić klucz !
Firma Yubico poinformowała, iż portal dla klientów Infineon Technologies, jedenego z dostawców bezpiecznych elementów Yubico, poinformował o problemie z zabezpieczeniami w ich bibliotekach kryptograficznych, które są wykorzystywane w kluczach Yubico.
Problem dotyczy generowania kluczy RSA, który została odkryty przez niezależny zespół badaczy Uniwersytetu Masaryka w Czechach. Naukowcy znaleźli metodę identyfikacji matematycznych słabości poszczególnych algorytmów generowania liczb pierwszych. Metoda ta umożliwia osobie atakującej, która ma tylko część publiczną pary kluczy RSA utworzoną w zabezpieczonym elemencie, aby wyliczyć klucz prywatny znacznie szybciej niż obecny atak najnowszego stanu techniki.
Problem dotyczy komputerów TPM , a także wielu dostawców kart elektronicznych i tokenów.
W przypadku Yubico problem ten osłabia siłę generowania kluczy RSA i ma wpływ na niektóre przypadki użycia kart inteligentnych identyfikacji osobistej (PIV) i funkcji OpenPGP platformy YubiKey 4. Błąd leży w bibliotece kryptograficznej firmy Infineon wykorzystywanej w kluczach Yubikey, natomiast nie dotyczy to elementów układów procesorowych wykorzystywanych w kluczach Yubico.
Firma Yubico wydała w tej sprawie doradztwo w zakresie bezpieczeństwa, które można znaleźć pod następującym linkiem: https://www.yubico.com/support/security-advisories/ysa-2017-01/
Powyższy sytuacja nie ma wpływu na stosowanie funkcji FIDO U2F, OTP i OATH platformy YubiKey 4 jak również na YubiKey NEO. Firma
Szczegółowe informację można dotyczących jakich kluczy Yubico ta sytuacja dotyka można znaleźć pod następującym linkiem.
Oprócz zaleceń dotyczących łagodzenia skutków Yubico , które dostępne są pod adresem: https://www.yubico.com/keycheck/mitigation_recommendations
Firma Yubico oferuje nowe klucze YubiKey 4 dla tych, których dotyczy problem.
Szczegółów Informacje o programie zastępczym YubiKey są dostępne w portalu internetowym udostępnionym przez firmę Yubico pod adresem.
Czy mój klucz jest podatny ?
Co należy zrobić aby wymienić klucz:
- Należy zweryfikować czy klucz Yubikey 4 jest podatny na stronie producenta: https://www.yubico.com/keycheck/verify_otp
- Jeżeli podatność zostanie wykryta, kolejnym krokiem jest zgłoszenie konieczności wymiany klucza. Użytkownik zostanie przekierowany do formularza wymiany.
- Jeżeli automatyczna weryfikacja nie zadziała, należy przeprowadzić weryfikacje manualna (zrobić zdjęcie tylnej strony klucza tak aby widoczny był kod QR wraz z nr seryjnym, oraz podać nr seryjny klucza i przesłać za pomocą formualrza)
- Po otrzymaniu zgłoszenia i jego weryfikacji Firma Yubico prześle Państwu wiadomość potwierdzającą, jeżeli klucz Yubikey 4 posiada podatność wraz z jednorazowym kodem na wymianę klucza.
- Kod należy wykorzystać na stronie: https://www.yubico.com/store/, składając zamówienie na nowy klucz.
- Natomiast starego klucza nie trzeba odsyłać do Firmy Yubico czy do InBase jako sprzedawcy, może być on wykorzystany do innych celów które nie obejmują problemu biblioteki RSA.
W razie dodatkowych pytań prosimy o email pod adres: biuro@inbase.pl