Yubikey FIPS – Błąd w oprogramowaniu kluczy Yubico

Dotyczy tylko kluczy serii FIPS!

Yubikey FIPS

W marcu został wykryty błąd w kluczach Yubikey z serii FIPS.

Yubikey FIPS – Seria kluczy używanych przez rząd USA został wykryty błąd w oprogramowaniu klucza.

Błąd dotyczy tylko i wyłącznie modeli z serii FIPS, które posiadają oprogramowanie w wersji 4.4.2 oraz 4.4.4. (Oprogramowanie w wersji 4.4.3 nie zostało wydane).

Poniżej przedstawiamy modele które są podatne:

  • 1 – YubiKey FIPS
  • 2 – Yubikey Nano FIPS
  • 3 – Yubikey C FIPS
  • 4 – Yubikey C Nano FIPS

Opis problemu:

Pierwsze użycie losowych wartości przez aplikację YubiKey FIPS, powoduje że po każdym ponownym podłączeniu urządzenia zmniejszana jest losowość.

Może to mieć wpływ na pierwszy zestaw operacji kryptograficznych przez urządzenie YubiKey z serii FIPS po włączeniu urządzenia.

Problem dotyczy tylko niektórych przypadków użycia.

Aplikacje YubiKey FIPS wykorzystujące ECDSA, które są narażone na większe ryzyko niż inne przypadki użycia.

Yubico odkryło ten problem w połowie marca 2019 r., a następnie przeprowadziło pełne badanie przyczyn, skutków i środków zaradczych dla klientów. Problem został rozwiązany w oprogramowaniu sprzętowym YubiKey FIPS Series 4.4.5.

Ze względu na aktualizację oprogramowania układowego konieczna była również ponowna certyfikacja FIPS.

Możliwe scenariusze:

Poniżej przedstawiliśmy tabele wraz z możliwymi scenariuszami użycia klucza Yubikey FIPS. Sprawdź czy może to mieć wpływ na Twój przypadek użycia.

Występują znaczne różnice między scenariuszami, które mogą mieć wpływ. Zapoznaj się ze szczegółami technicznymi odnoszącymi się do Twojego przypadku użycia, zgodnie z poniższym przewodnikiem.

YubiOTP i programowalne SlotyBrak podatności.Nie jest wymagane natychmiastowe działanie. Jednak Yubico zaleca zastąpienie kluczy, aby uniknąć późniejszego użycia w dotkniętych scenariuszach.
Smart CardsMoże mieć wpływ – gdy używasz podpisów EC lub operacji występujących bezpośrednio po podłączeniu YubiKey FIPS.Aby uzyskać szczegółowe informacje, przeczytaj sekcję Karty inteligentnej PIV.
FIDO U2F Dotyczy – podczas używania FIDO U2F bezpośrednio po podłączeniu YubiKey FIPS.Aby uzyskać szczegółowe informacje, przeczytaj sekcję FIDO U2F.
OATH One-Time Passwords Może to mieć wpływ – gdy używasz OATH OTP bezpośrednio po podłączeniu klucza YubiKey FIPS. Aby uzyskać szczegółowe informacje, przeczytaj sekcję OATH One-Time Passwords.
OpenPGP Możliwa podatność – klucze RSA wygenerowane na YubiKey FIPS bezpośrednio po podłączeniu klucza.Przeczytaj sekcję OpenPGP, aby uzyskać szczegółowe informacje.

Nowe oprogramowanie układowe w wersji 4.4.5 uzyskało certyfikat FIPS 30 kwietnia 2019 roku.

Czy istnieje program wymiany kluczy Yubikey z serii FIPS?

Tak! Producent uruchomił program dzięki któremu można wymienić podatny klucz na klucz wolny od podatności. Poniżej link do programu:

Opis Programu wymiany kluczy Yubikey z serii FIPS.

W jaki sposób mogę wymienić klucz?

Wystarczy przejść na stronę wymiany kluczy Yubikey z serii FIPS.

======================================================

Pamiętaj jednak, że samo hasło to słabe zabezpieczenie.

Jakiś czas temu opisywaliśmy wykorzystanie kluczy Yubico jako elementu dwuetapowego uwierzytelnienia.

Aby zakupić klucze Yubikey z serii FIPS posiadające najnowszą wersją oprogramowania lub inne modele Yubikey zapraszamy na stronę naszego sklepu.