FIDO: Yubico ruft Tokens mit Regierungszertifizierung zurück
Der Hersteller Yubico muss einige seiner Sticks zur Zwei-Faktor Authentifizierung wegen Sicherheitslücken zurückziehen und bei Kunden austauschen. Kurioserweise nur jene mit einer besonderen Zertifizierungen der US-Regierung.
Yubico, der Hersteller der bekannten Yubikeys zur Zwei-Faktor-Authentifizierung, hat einige seiner Geräte zurückgerufen und damit begonnen, diese bei Kunden auszutauschen. Betroffen davon ist die FIPS-Serie der Yubikeys. Bei FIPS handelt es sich um einen Standard und damit verbundene Zertifizierungen der US-Regierung. Geräte mit solch einer Zertifizierung sind explizit für den behördlichen Einsatz in den USA gedacht. Der Grund für die Rückrufaktion ist eine Sicherheitslücke in der Firmware der Geräte.
Dabei handelt es sich um die Versionen 4.4.2 und 4.4.4, Version 4.4.3 ist nie erschienen. Die betroffenen Geräte haben dabei konkret Probleme mit dem Bereitstellen von tatsächlich zufälligen Werten, die für die ersten kryptografischen Operationen benötigt werden. Dies gelte nur unmittelbar nach dem Start der Geräte.
Lücke abhängig vom Einsatz
Der Erklärung zufolge tritt der Fehler auf, weil sich in dem Buffer zum Speichern der Zufallszahlen noch vorhersehbare Artefakte aus dem von FIPS vorgesehenen Selbsttest beim Start befinden. Für RSA-Schlüssel lassen sich so bis zu 80 Bit der empfohlenen 2048 Bit vorhersagen, was laut Yubico keinen konkreten Angriff ermöglichen sollte.
Schlimmer sei die Situation bei ECDSA-Signaturen, bei denen der Nonce-Wert mit 80 vorhersagbaren Bit von genutzten 256 Bit zu klar geschwächten Signaturen führe. Angreifer könnten mit Zugriff auf mehrere Signaturen daraus möglicherweise den privaten Schlüssel zurückgewinnen. Weitere technische Details liefert die Ankündigung.
Es ist nicht das erste Mal, dass Yubico aufgrund von Sicherheitslücken seine Geräte austauschen muss. So war das Unternehmen auch von den durch Infineon verursachten unsicheren RSA-Schlüsseln betroffen. Ironisch an den Vorfällen ist, dass der Hersteller Yubico seit einigen Jahren nicht mehr auf Open-Source-Firmware setzt und die Sicherheit über Zertifizierungssysteme gewährleisten will. Das ging auch wieder schief.
Der Hersteller bietet seinen Kunden deshalb Ersatzgeräte mit der Firmware-Version 4.4.5 an, bei denen die Sicherheitslücken behoben sind. Betroffene Kunden, die noch nicht von dem Hersteller kontaktiert worden sind, sollen sich bei Yubico über eine speziell eingerichtete Seite melden.
Als Smartcard/zweiter Faktor in der Authentifizierung mehr als ausreichend bei den...
Selbst Schuld wer denen vertraut. Wahrscheinlich war das Custommade, damit 3-Letter...