FIDO: Yubico ruft Tokens mit Regierungszertifizierung zurück

Der Hersteller Yubico muss einige seiner Sticks zur Zwei-Faktor Authentifizierung wegen Sicherheitslücken zurückziehen und bei Kunden austauschen. Kurioserweise nur jene mit einer besonderen Zertifizierungen der US-Regierung.

Artikel veröffentlicht am ,
Einige der Yubikeys haben Sicherheitslücken und müssen ausgetauscht werden.
Einige der Yubikeys haben Sicherheitslücken und müssen ausgetauscht werden. (Bild: Yubico)

Yubico, der Hersteller der bekannten Yubikeys zur Zwei-Faktor-Authentifizierung, hat einige seiner Geräte zurückgerufen und damit begonnen, diese bei Kunden auszutauschen. Betroffen davon ist die FIPS-Serie der Yubikeys. Bei FIPS handelt es sich um einen Standard und damit verbundene Zertifizierungen der US-Regierung. Geräte mit solch einer Zertifizierung sind explizit für den behördlichen Einsatz in den USA gedacht. Der Grund für die Rückrufaktion ist eine Sicherheitslücke in der Firmware der Geräte.

Dabei handelt es sich um die Versionen 4.4.2 und 4.4.4, Version 4.4.3 ist nie erschienen. Die betroffenen Geräte haben dabei konkret Probleme mit dem Bereitstellen von tatsächlich zufälligen Werten, die für die ersten kryptografischen Operationen benötigt werden. Dies gelte nur unmittelbar nach dem Start der Geräte.

Lücke abhängig vom Einsatz

Der Erklärung zufolge tritt der Fehler auf, weil sich in dem Buffer zum Speichern der Zufallszahlen noch vorhersehbare Artefakte aus dem von FIPS vorgesehenen Selbsttest beim Start befinden. Für RSA-Schlüssel lassen sich so bis zu 80 Bit der empfohlenen 2048 Bit vorhersagen, was laut Yubico keinen konkreten Angriff ermöglichen sollte.

Schlimmer sei die Situation bei ECDSA-Signaturen, bei denen der Nonce-Wert mit 80 vorhersagbaren Bit von genutzten 256 Bit zu klar geschwächten Signaturen führe. Angreifer könnten mit Zugriff auf mehrere Signaturen daraus möglicherweise den privaten Schlüssel zurückgewinnen. Weitere technische Details liefert die Ankündigung.

Es ist nicht das erste Mal, dass Yubico aufgrund von Sicherheitslücken seine Geräte austauschen muss. So war das Unternehmen auch von den durch Infineon verursachten unsicheren RSA-Schlüsseln betroffen. Ironisch an den Vorfällen ist, dass der Hersteller Yubico seit einigen Jahren nicht mehr auf Open-Source-Firmware setzt und die Sicherheit über Zertifizierungssysteme gewährleisten will. Das ging auch wieder schief.

Der Hersteller bietet seinen Kunden deshalb Ersatzgeräte mit der Firmware-Version 4.4.5 an, bei denen die Sicherheitslücken behoben sind. Betroffene Kunden, die noch nicht von dem Hersteller kontaktiert worden sind, sollen sich bei Yubico über eine speziell eingerichtete Seite melden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Streamer
Rocket Beans muss in Kurzarbeit

Der Gaming-Kanal Rocket Beans hat wirtschaftliche Schwierigkeiten. Mitarbeiter müssen in Kurzarbeit, einige Sendungen entfallen.

Streamer: Rocket Beans muss in Kurzarbeit
Artikel
  1. Künstliche Intelligenz: So funktioniert ChatGPT
    Künstliche Intelligenz
    So funktioniert ChatGPT

    Das mächtige Sprachmodell ChatGPT erzeugt Texte, die sich kaum von denen menschlicher Autoren unterscheiden lassen. Wir erklären die Technologie hinter dem Hype.
    Ein Deep Dive von Helmut Linde

  2. Reviews: Hogwarts Legacy mit PC-Problemen und Detailreichtum
    Reviews
    Hogwarts Legacy mit PC-Problemen und Detailreichtum

    Die ersten Tests von Hogwarts Legacy loben Welt und Kampfsystem. Probleme gibt's wohl mit der PC-Technik - und Unwohlsein wegen J.K. Rowling.

  3. Volker Wissing: Schienengüterverbände sind gegen Autobahnausbau
    Volker Wissing
    Schienengüterverbände sind gegen Autobahnausbau

    Für den Güterverkehr sollte vermehrt auf die Bahn gesetzt werden und nicht auf mehr LKW. Für die gebe es eh nicht genug Fahrer, meinen Verbände.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RAM im Preisrutsch - neue Tiefstpreise! • Powercolor RX 7900 XTX 1.195€ • AMD Ryzen 7 5800X3D 329€ • Nur noch heute TV-Sale mit bis 77% Rabatt bei Otto • Lenovo Tab P11 Plus 249€ • MindStar: Intel Core i7 13700K 429€ • Logitech G915 Lightspeed 219,89€ • PCGH Cyber Week [Werbung]
    •  /