Abo
  • IT-Karriere:

FIDO: Yubico ruft Tokens mit Regierungszertifizierung zurück

Der Hersteller Yubico muss einige seiner Sticks zur Zwei-Faktor Authentifizierung wegen Sicherheitslücken zurückziehen und bei Kunden austauschen. Kurioserweise nur jene mit einer besonderen Zertifizierungen der US-Regierung.

Artikel veröffentlicht am ,
Einige der Yubikeys haben Sicherheitslücken und müssen ausgetauscht werden.
Einige der Yubikeys haben Sicherheitslücken und müssen ausgetauscht werden. (Bild: Yubico)

Yubico, der Hersteller der bekannten Yubikeys zur Zwei-Faktor-Authentifizierung, hat einige seiner Geräte zurückgerufen und damit begonnen, diese bei Kunden auszutauschen. Betroffen davon ist die FIPS-Serie der Yubikeys. Bei FIPS handelt es sich um einen Standard und damit verbundene Zertifizierungen der US-Regierung. Geräte mit solch einer Zertifizierung sind explizit für den behördlichen Einsatz in den USA gedacht. Der Grund für die Rückrufaktion ist eine Sicherheitslücke in der Firmware der Geräte.

Stellenmarkt
  1. Consors Finanz BNP Paribas, München
  2. über experteer GmbH, Nürnberg

Dabei handelt es sich um die Versionen 4.4.2 und 4.4.4, Version 4.4.3 ist nie erschienen. Die betroffenen Geräte haben dabei konkret Probleme mit dem Bereitstellen von tatsächlich zufälligen Werten, die für die ersten kryptografischen Operationen benötigt werden. Dies gelte nur unmittelbar nach dem Start der Geräte.

Lücke abhängig vom Einsatz

Der Erklärung zufolge tritt der Fehler auf, weil sich in dem Buffer zum Speichern der Zufallszahlen noch vorhersehbare Artefakte aus dem von FIPS vorgesehenen Selbsttest beim Start befinden. Für RSA-Schlüssel lassen sich so bis zu 80 Bit der empfohlenen 2048 Bit vorhersagen, was laut Yubico keinen konkreten Angriff ermöglichen sollte.

Schlimmer sei die Situation bei ECDSA-Signaturen, bei denen der Nonce-Wert mit 80 vorhersagbaren Bit von genutzten 256 Bit zu klar geschwächten Signaturen führe. Angreifer könnten mit Zugriff auf mehrere Signaturen daraus möglicherweise den privaten Schlüssel zurückgewinnen. Weitere technische Details liefert die Ankündigung.

Es ist nicht das erste Mal, dass Yubico aufgrund von Sicherheitslücken seine Geräte austauschen muss. So war das Unternehmen auch von den durch Infineon verursachten unsicheren RSA-Schlüsseln betroffen. Ironisch an den Vorfällen ist, dass der Hersteller Yubico seit einigen Jahren nicht mehr auf Open-Source-Firmware setzt und die Sicherheit über Zertifizierungssysteme gewährleisten will. Das ging auch wieder schief.

Der Hersteller bietet seinen Kunden deshalb Ersatzgeräte mit der Firmware-Version 4.4.5 an, bei denen die Sicherheitslücken behoben sind. Betroffene Kunden, die noch nicht von dem Hersteller kontaktiert worden sind, sollen sich bei Yubico über eine speziell eingerichtete Seite melden.



Anzeige
Top-Angebote
  1. (u. a. Corsair K70 RGB MK.2 Tastatur für 119,99€, Elgato Stream Deck mini für 74,99€, Corsair...
  2. 199,90€
  3. (u. a. PS4 Slim 500 GB inkl. 2 Controller & Fortnite Neo Versa Bundle für 249,99€, PS4 500 GB...
  4. 89,99€ (Release 24. September)

nicoledos 16. Jun 2019

Das gute an YK, sie werden aktiv. Nur weil bei anderen Herstellern keine Umtauschaktionen...

MarioWario 15. Jun 2019

Selbst Schuld wer denen vertraut. Wahrscheinlich war das Custommade, damit 3-Letter...


Folgen Sie uns
       


Xiaomi Mi 9T Pro - Fazit

Das Mi 9T Pro von Xiaomi ist eines der ersten Smartphones, das der chinesische Hersteller offiziell in Deutschland anbietet. Im Test überzeugt das Gerät durch sehr gute Hardware zu einem verhältnismäßig geringen Preis.

Xiaomi Mi 9T Pro - Fazit Video aufrufen
Astronomie: K2-18b ist weder eine zweite Erde noch super
Astronomie
K2-18b ist weder eine zweite Erde noch super

Die Realität sieht anders aus, als manche Überschrift vermuten lässt. Die neue Entdeckung von Wasser auf einem Exoplaneten deutet nicht auf Leben hin, dafür aber auf Probleme im Wissenschaftsbetrieb.
Von Frank Wunderlich-Pfeiffer

  1. Interview Heino Falcke "Wir machen Wettermodelle für schwarze Löcher"

Sonos Move im Test: Der vielseitigste Lautsprecher von Sonos
Sonos Move im Test
Der vielseitigste Lautsprecher von Sonos

Der Move von Sonos überzeugt durch Bluetooth und ist dank Akku und stabilem Gehäuse vorzüglich für den Außeneinsatz geeignet. Bei den Funktionen ist der Lautsprecher leider nicht so smart wie er sein könnte.
Ein Test von Ingo Pakalski

  1. Update für Multiroom-Lautsprecher Sonos-App spielt keine lokalen Inhalte mehr vom iPhone ab
  2. Smarter Lautsprecher Erster Sonos-Lautsprecher mit Akku und Bluetooth
  3. Soundbars Audiohersteller Teufel investiert in eigene Ladenkette

Geothermie: Wer auf dem Vulkan wohnt, muss nicht so tief bohren
Geothermie
Wer auf dem Vulkan wohnt, muss nicht so tief bohren

Die hohen Erwartungen haben Geothermie-Kraftwerke bisher nicht erfüllt. Weltweit setzen trotzdem immer mehr Länder auf die Wärme aus der Tiefe - nicht alle haben es dabei leicht.
Ein Bericht von Jan Oliver Löfken

  1. Nachhaltigkeit Jute im Plastik
  2. Nachhaltigkeit Bauen fürs Klima
  3. Autos Elektro, Brennstoffzelle oder Diesel?

    •  /