FIDO: Yubico ruft Tokens mit Regierungszertifizierung zurück

Der Hersteller Yubico muss einige seiner Sticks zur Zwei-Faktor Authentifizierung wegen Sicherheitslücken zurückziehen und bei Kunden austauschen. Kurioserweise nur jene mit einer besonderen Zertifizierungen der US-Regierung.

Artikel veröffentlicht am ,
Einige der Yubikeys haben Sicherheitslücken und müssen ausgetauscht werden.
Einige der Yubikeys haben Sicherheitslücken und müssen ausgetauscht werden. (Bild: Yubico)

Yubico, der Hersteller der bekannten Yubikeys zur Zwei-Faktor-Authentifizierung, hat einige seiner Geräte zurückgerufen und damit begonnen, diese bei Kunden auszutauschen. Betroffen davon ist die FIPS-Serie der Yubikeys. Bei FIPS handelt es sich um einen Standard und damit verbundene Zertifizierungen der US-Regierung. Geräte mit solch einer Zertifizierung sind explizit für den behördlichen Einsatz in den USA gedacht. Der Grund für die Rückrufaktion ist eine Sicherheitslücke in der Firmware der Geräte.

Dabei handelt es sich um die Versionen 4.4.2 und 4.4.4, Version 4.4.3 ist nie erschienen. Die betroffenen Geräte haben dabei konkret Probleme mit dem Bereitstellen von tatsächlich zufälligen Werten, die für die ersten kryptografischen Operationen benötigt werden. Dies gelte nur unmittelbar nach dem Start der Geräte.

Lücke abhängig vom Einsatz

Der Erklärung zufolge tritt der Fehler auf, weil sich in dem Buffer zum Speichern der Zufallszahlen noch vorhersehbare Artefakte aus dem von FIPS vorgesehenen Selbsttest beim Start befinden. Für RSA-Schlüssel lassen sich so bis zu 80 Bit der empfohlenen 2048 Bit vorhersagen, was laut Yubico keinen konkreten Angriff ermöglichen sollte.

Schlimmer sei die Situation bei ECDSA-Signaturen, bei denen der Nonce-Wert mit 80 vorhersagbaren Bit von genutzten 256 Bit zu klar geschwächten Signaturen führe. Angreifer könnten mit Zugriff auf mehrere Signaturen daraus möglicherweise den privaten Schlüssel zurückgewinnen. Weitere technische Details liefert die Ankündigung.

Es ist nicht das erste Mal, dass Yubico aufgrund von Sicherheitslücken seine Geräte austauschen muss. So war das Unternehmen auch von den durch Infineon verursachten unsicheren RSA-Schlüsseln betroffen. Ironisch an den Vorfällen ist, dass der Hersteller Yubico seit einigen Jahren nicht mehr auf Open-Source-Firmware setzt und die Sicherheit über Zertifizierungssysteme gewährleisten will. Das ging auch wieder schief.

Der Hersteller bietet seinen Kunden deshalb Ersatzgeräte mit der Firmware-Version 4.4.5 an, bei denen die Sicherheitslücken behoben sind. Betroffene Kunden, die noch nicht von dem Hersteller kontaktiert worden sind, sollen sich bei Yubico über eine speziell eingerichtete Seite melden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Aktuell auf der Startseite von Golem.de
Quartalszahlen
So verkauft Elon Musk Teslas Schrumpfkurs als Wachstum

Nur 3 statt 20 Millionen Autos, Investitionen in neue Fabriken wurden gestrichen und die 4680-Akkus waren angeblich nie wichtig für Tesla.
Eine Analyse von Frank Wunderlich-Pfeiffer

Quartalszahlen: So verkauft Elon Musk Teslas Schrumpfkurs als Wachstum
Artikel
  1. Lebensmittellieferdienst: Getir/Gorillas schließt in Deutschland
    Lebensmittellieferdienst
    Getir/Gorillas schließt in Deutschland

    Getir, der Käufer von Gorillas, hat Milliarden US-Dollar an Bewertung verloren und ist mit seiner Europaexpansion gescheitert. Nun werden Tausende Kündigungen folgen.

  2. Elektro-Limousine: BMW wertet den i4 mit neuem Design und Serienextras auf
    Elektro-Limousine
    BMW wertet den i4 mit neuem Design und Serienextras auf

    Der BMW i4 bekommt ein Technik- und Designupdate, das die Attraktivität des vollelektrischen Mittelklasse-Fahrzeugs steigern soll.

  3. Bionicbee: Festos Roboterbienen fliegen im Schwarm
    Bionicbee
    Festos Roboterbienen fliegen im Schwarm

    Bisher hat Festo Insektenroboter im Schwarm laufen lassen. Die bionischen Bienen fliegen im Schwarm.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MediaMarkt: Asus Gaming-Laptop 999€ statt 1.599€ • Galaxy S23 400€ günstiger • Anker USB-Ladegeräte -45% • MSI MEG 342CDE OLED 999€ • Gamesplanet Spring Sale [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /