网络第5域

英飞凌TPM模块加密库存在侧通道攻击弱点 Yubico等多个硬件密钥受影响

字号+作者: 来源:蓝点网 2024-09-04 15:21 评论(创建话题) 收藏成功收藏本文

网络安全公司NinjaLab日前发布安全公告透露Yubico等硬件安全密钥存在的安全漏洞,Yubico旗下的Yubikey是目前最流行的硬件安全密钥之一,不过实际受到该漏'...

网络安全公司NinjaLab日前发布安全公告透露Yubico等硬件安全密钥存在的安全漏洞,Yubico旗下的Yubikey是目前最流行的硬件安全密钥之一,不过实际受到该漏洞影响的远远不只是硬件安全密钥,其他涉及到英飞凌TPM安全模块或控制器的设备也受影响。RW8品论天涯网

问题根源在于英飞凌安全微控制器使用的加密库存在缺陷,研究人员在物理接触硬件安全密钥的情况下,最长可以在24小时内完成数据解密。RW8品论天涯网

然而此次问题严重影响Yubico硬件安全密钥,因为该公司制造的不少硬件安全密钥不支持固件更新功能,这意味着漏洞无法修复而是长期存在,除非用户放弃使用旧密钥购买新密钥。RW8品论天涯网

RW8品论天涯网

要想通过这个漏洞展开攻击难度非常大,也就是说在现实世界中如果真有人利用此漏洞进行攻击,那花费的成本可能也是非常高的,因此大多数用户不会受该问题影响。RW8品论天涯网

在这种情况下继续使用存在侧通道攻击缺陷的YubiKey仍然比不使用硬件密钥安全,毕竟硬件安全密钥的好处在于无法远程攻击,再强大的攻击者也得物理接触到设备后才能操作。RW8品论天涯网

说到这蓝点网还想起来Yubico在今年5月份发布5.7版固件,该固件也仅适用于新出厂的设备,当时Yubico没透露这个新固件是干嘛用的,现在知道了,是用来修复侧通道攻击漏洞的(此漏洞在4月份通报给Yubico的)RW8品论天涯网

下面是受影响的产品版本:RW8品论天涯网

  • YubiKey5系列5.7之前的版本RW8品论天涯网

  • YubiKey5FIPS系列5.7之前的版本RW8品论天涯网

  • YubiKey5CSPN系列5.7之前的版本RW8品论天涯网

  • YubiKeyBio系列5.7.2之前的版本RW8品论天涯网

  • 安全密钥系列5.7之前的版本RW8品论天涯网

  • YubiHSM2.4之前的版本RW8品论天涯网

  • YubiHSM2FIPS2.4之前的版本RW8品论天涯网

  • 上面提到的版本号其实也就是YubiKey修复的版本号,遗憾的是根据Yubico公司的安全政策,硬件密钥出厂后不再支持更换固件,这个政策是防止密钥出厂后被恶意行为者刷入恶意固件的。RW8品论天涯网

    因此搭载旧版本固件的YubiKey无法更新固件而漏洞永远存在,好在这个漏洞说起来对大多数用户的影响有限,可能在高安全环境中用户尤其是企业或机构用户应当立即购买新的硬件安全密钥进行替换。RW8品论天涯网

    最后英飞凌的微控制器漏洞影响的远不只是YubiKey,但哪些产品还使用这些微控制器还不清楚,英飞凌至今也没有回应安全公司的邮件。RW8品论天涯网

    本网除标明“PLTYW原创”的文章外,其它文章均为转载或者爬虫(PBot)抓取; 本文只代表作者个人观点,不代表本站观点,仅供大家学习参考。本网站属非谋利性质,旨在传播马克思主义和共产主义历史文献和参考资料。凡刊登的著作文献侵犯了作者、译者或版权持有人权益的,可来信联系本站删除。 本站邮箱[email protected]