Некоторые устройства YubiKey FIPS признаны ненадежными из-за бага

Инженеры компании Yubico сообщили, что некоторые аппаратные ключи компании были признаны ненадежными. Дело в том, что проблема в прошивке позволяет снизить произвольность криптографических ключей, генерируемых уязвимыми устройствами.

Багу подвержены девайсы модельного ряда YubiKey FIPS – эти аутентификационные устройства соответствуют американским федеральным стандартам обработки информации (Federal Information Processing Standards, FIPS) и сертифицированы для использования в правительственных сетях США. Представители Yubico предостерегают владельцев следующих девайсов:

  • YubiKey FIPS
  • YubiKey Nano FIPS
  • YubiKey C FIPS
  • YubiKey C Nano FIPS

По данным разработчиков Yubico, проблема затрагивает устройства серии YubiKey FIPS, работающие под управлением прошивок 4.4.2 и 4.4.4 (прошивка версии 4.4.3 не выходила). Из-за бага «некоторый предсказуемый контент» в оседает буфере устройства. Этот «предсказуемый контент» и влияет на  случайность криптографических ключей, которые генерируются на устройстве в течение короткого периода после загрузки, пока «предсказуемый контент» не будет использован, и в буфере не появятся действительно случайные данные.

Фактически это означает, что такие ключи, генерируемые на устройствах YubiKey FIPS, работающих под управлением прошивок 4.4.2 и 4.4.4, можно восстановить частично или полностью (в зависимости от конкретного использующегося криптографического алгоритма и вариантов использования).

Разработчики Yubico просят владельцев YubiKey FIPS проверить версии прошивок своих устройств и посетить специальную страницу, если девайсу требуется обмен. Компания обещает предоставить всем пострадавшим новые YubiKey FIPS с прошивкой 4.4.5, где баг был исправлен.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.

Комментарии (1)

  • Добрый день всем!

    Мы очень благодарны профессионалам из сайта Хакер (https://xakep.ru/) за то, что опубликовали эту статью.

    Компания ООО "Кернел" является эксклюзивным дистрибьютором ключей YubiKey в России и СНГ.

    Мы опубликовали на нашем сайте сообщение об этом инциденте: https://kernel.ru/fips-security-advisory-13-06-19/.

    Также мы уже сообщили и заменили ключей всем нашим клиентам совершенно бесплатно включая доставку. Мы всегда очень стараемся и максимально следим за безопасностью наших пользователей и никогда не отказываемся от своих обязанностей.

    С уважением,
    Команда Кернел

    https://kernel.ru
    https://thekernel.ru
    https://yubikey.me/ru/

    Краткий текст сообщение:

    Проблема присутствует в ключах YubiKey серии FIPS с прошивками версий 4.4.2 и 4.4.4 (просьба заметить, что версия 4.4.3 не выпускалась). Данная проблема заключается в том, что при первичном подключении YubiKey FIPS уникальность сгенерированных случайных значений является пониженной. Это может повлиять на первые несколько криптографических операций, выполняемых YubiKey FIPS после запуска. Данная проблема характерна только для ключей YubiKey серии FIPS и не присутствует в любых других моделях серий YubiKey, Security Key или других продуктах от Yubico. В обновленной прошивке версии 4.4.5 данная проблема была устранена.