网络安全公司NinjaLab日前发布安全公告透露Yubico等硬件安全密钥存在的安全漏洞,Yubico旗下的Yubikey是目前最流行的硬件安全密钥之一,不过实际受到该漏洞影响的远远不只是硬件安全密钥,其他涉及到英飞凌TPM安全模块或控制器的设备也受影响。
问题根源在于英飞凌安全微控制器使用的加密库存在缺陷,研究人员在物理接触硬件安全密钥的情况下,最长可以在24小时内完成数据解密。
然而此次问题严重影响Yubico硬件安全密钥,因为该公司制造的不少硬件安全密钥不支持固件更新功能,这意味着漏洞无法修复而是长期存在,除非用户放弃使用旧密钥购买新密钥。
要想通过这个漏洞展开攻击难度非常大,也就是说在现实世界中如果真有人利用此漏洞进行攻击,那花费的成本可能也是非常高的,因此大多数用户不会受该问题影响。
在这种情况下继续使用存在侧通道攻击缺陷的YubiKey仍然比不使用硬件密钥安全,毕竟硬件安全密钥的好处在于无法远程攻击,再强大的攻击者也得物理接触到设备后才能操作。
说到这蓝点网还想起来Yubico在今年5月份发布5.7版固件,该固件也仅适用于新出厂的设备,当时Yubico没透露这个新固件是干嘛用的,现在知道了,是用来修复侧通道攻击漏洞的(此漏洞在4月份通报给Yubico的)
下面是受影响的产品版本:
YubiKey5系列5.7之前的版本
YubiKey5FIPS系列5.7之前的版本
YubiKey5CSPN系列5.7之前的版本
YubiKeyBio系列5.7.2之前的版本
安全密钥系列5.7之前的版本
YubiHSM2.4之前的版本
YubiHSM2FIPS2.4之前的版本
上面提到的版本号其实也就是YubiKey修复的版本号,遗憾的是根据Yubico公司的安全政策,硬件密钥出厂后不再支持更换固件,这个政策是防止密钥出厂后被恶意行为者刷入恶意固件的。
因此搭载旧版本固件的YubiKey无法更新固件而漏洞永远存在,好在这个漏洞说起来对大多数用户的影响有限,可能在高安全环境中用户尤其是企业或机构用户应当立即购买新的硬件安全密钥进行替换。
最后英飞凌的微控制器漏洞影响的远不只是YubiKey,但哪些产品还使用这些微控制器还不清楚,英飞凌至今也没有回应安全公司的邮件。
相关文章
头条焦点
精彩导读
关注我们
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】