Abo
  • IT-Karriere:

FIDO: Yubico ruft Tokens mit Regierungszertifizierung zurück

Der Hersteller Yubico muss einige seiner Sticks zur Zwei-Faktor Authentifizierung wegen Sicherheitslücken zurückziehen und bei Kunden austauschen. Kurioserweise nur jene mit einer besonderen Zertifizierungen der US-Regierung.

Artikel veröffentlicht am ,
Einige der Yubikeys haben Sicherheitslücken und müssen ausgetauscht werden.
Einige der Yubikeys haben Sicherheitslücken und müssen ausgetauscht werden. (Bild: Yubico)

Yubico, der Hersteller der bekannten Yubikeys zur Zwei-Faktor-Authentifizierung, hat einige seiner Geräte zurückgerufen und damit begonnen, diese bei Kunden auszutauschen. Betroffen davon ist die FIPS-Serie der Yubikeys. Bei FIPS handelt es sich um einen Standard und damit verbundene Zertifizierungen der US-Regierung. Geräte mit solch einer Zertifizierung sind explizit für den behördlichen Einsatz in den USA gedacht. Der Grund für die Rückrufaktion ist eine Sicherheitslücke in der Firmware der Geräte.

Stellenmarkt
  1. OMICRON electronics GmbH, Klaus, Bodenseeregion
  2. PSI Energie Gas & Öl, Essen

Dabei handelt es sich um die Versionen 4.4.2 und 4.4.4, Version 4.4.3 ist nie erschienen. Die betroffenen Geräte haben dabei konkret Probleme mit dem Bereitstellen von tatsächlich zufälligen Werten, die für die ersten kryptografischen Operationen benötigt werden. Dies gelte nur unmittelbar nach dem Start der Geräte.

Lücke abhängig vom Einsatz

Der Erklärung zufolge tritt der Fehler auf, weil sich in dem Buffer zum Speichern der Zufallszahlen noch vorhersehbare Artefakte aus dem von FIPS vorgesehenen Selbsttest beim Start befinden. Für RSA-Schlüssel lassen sich so bis zu 80 Bit der empfohlenen 2048 Bit vorhersagen, was laut Yubico keinen konkreten Angriff ermöglichen sollte.

Schlimmer sei die Situation bei ECDSA-Signaturen, bei denen der Nonce-Wert mit 80 vorhersagbaren Bit von genutzten 256 Bit zu klar geschwächten Signaturen führe. Angreifer könnten mit Zugriff auf mehrere Signaturen daraus möglicherweise den privaten Schlüssel zurückgewinnen. Weitere technische Details liefert die Ankündigung.

Es ist nicht das erste Mal, dass Yubico aufgrund von Sicherheitslücken seine Geräte austauschen muss. So war das Unternehmen auch von den durch Infineon verursachten unsicheren RSA-Schlüsseln betroffen. Ironisch an den Vorfällen ist, dass der Hersteller Yubico seit einigen Jahren nicht mehr auf Open-Source-Firmware setzt und die Sicherheit über Zertifizierungssysteme gewährleisten will. Das ging auch wieder schief.

Der Hersteller bietet seinen Kunden deshalb Ersatzgeräte mit der Firmware-Version 4.4.5 an, bei denen die Sicherheitslücken behoben sind. Betroffene Kunden, die noch nicht von dem Hersteller kontaktiert worden sind, sollen sich bei Yubico über eine speziell eingerichtete Seite melden.



Anzeige
Hardware-Angebote
  1. 274,00€

nicoledos 16. Jun 2019 / Themenstart

Das gute an YK, sie werden aktiv. Nur weil bei anderen Herstellern keine Umtauschaktionen...

MarioWario 15. Jun 2019 / Themenstart

Selbst Schuld wer denen vertraut. Wahrscheinlich war das Custommade, damit 3-Letter...

Kommentieren


Folgen Sie uns
       


Doom 1 in der Doom 3 Engine angespielt

Doom Reborn benötigt eine Vollversion von Doom 3 und ist bei moddb.com kostenlos erhältlich. Die Mod wurde von Michael Hanlon entwickelt.

Doom 1 in der Doom 3 Engine angespielt Video aufrufen
Mobilfunktarife fürs IoT: Die Dinge ins Internet bringen
Mobilfunktarife fürs IoT
Die Dinge ins Internet bringen

Kabellos per Mobilfunk bringt man smarte Geräte am leichtesten ins Internet der Dinge. Dafür haben deutsche Netzanbieter Angebote für Unternehmen wie auch für Privatkunden.
Von Jan Raehm

  1. Smart Lock Forscher hacken Türschlösser mit einfachen Mitteln
  2. Brickerbot 2.0 Neue Schadsoftware möchte IoT-Geräte zerstören
  3. Abus-Alarmanlage RFID-Schlüssel lassen sich klonen

Ryzen 3900X/3700X im Test: AMDs 7-nm-CPUs lassen Intel hinter sich
Ryzen 3900X/3700X im Test
AMDs 7-nm-CPUs lassen Intel hinter sich

Das beste Prozessor-Design seit dem Athlon 64: Mit den Ryzen 3000 alias Matisse bringt AMD sehr leistungsstarke und Energie-effiziente CPUs zu niedrigen Preisen in den Handel. Obendrein laufen die auch auf zwei Jahre alten sowie günstigen Platinen mit schnellem DDR4-Speicher.
Ein Test von Marc Sauter

  1. Ryzen 3000 BIOS-Updates schalten PCIe Gen4 für ältere Boards frei
  2. Mehr Performance Windows 10 v1903 hat besseren Ryzen-Scheduler
  3. Picasso für Sockel AM4 AMD verlötet Ryzen 3400G für flottere iGPU

Google Maps in Berlin: Wenn aus Aussetzfahrten eine neue U-Bahn-Linie wird
Google Maps in Berlin
Wenn aus Aussetzfahrten eine neue U-Bahn-Linie wird

Kartendienste sind für Touristen wie auch Ortskundige längst eine willkommene Hilfe. Doch manchmal gibt es größere Fehler. In Berlin werden beispielsweise einige Kleinprofil-Linien falsch gerendert. Dabei werden betriebliche Besonderheiten dargestellt.
Von Andreas Sebayang

  1. Google Maps zeigt Bikesharing in Berlin, Hamburg, Wien und Zürich
  2. Kartendienst Qwant startet Tracking-freie Alternative zu Google Maps
  3. Nahverkehr Google verbessert Öffi-Navigation in Maps

    •  /