7
EUCLEAK - wann ist SmartCard PIV betroffen?
Salve Kollegen!
https://ninjalab.io/eucleak/ beschreibt eine kürzlich bekannt gewordene Sicherheitslücke, die unter gewissen Randumständen ermöglicht, dass private Schlüssel von Angreifern gelesen werden können.
Betroffene Produkte:
Das ist nicht schön, da sowohl Infineon TPMs als auch Yubikey 5 sehr verbreitet sind.
Meine konkrete Frage ist zur Verwendung von RSA-basierten SmartCard-Zertifikaten (PIV) auf Yubikey5 und auf TPM-basierten, virtuellen SmartCards:
-> sind diese angreifbar, oder wären sie nur angreifbar, wenn man statt RSA ECC benutzt hätte?
https://ninjalab.io/eucleak/ beschreibt eine kürzlich bekannt gewordene Sicherheitslücke, die unter gewissen Randumständen ermöglicht, dass private Schlüssel von Angreifern gelesen werden können.
Betroffene Produkte:
All Infineon security microcontrollers embedding Infineon cryptographic library (any existing version). For instance, all existing versions of Infineon TPMs are affected.
All YubiKey 5 Series (with firmware version below 5.7)
All YubiKey 5 Series (with firmware version below 5.7)
Das ist nicht schön, da sowohl Infineon TPMs als auch Yubikey 5 sehr verbreitet sind.
Meine konkrete Frage ist zur Verwendung von RSA-basierten SmartCard-Zertifikaten (PIV) auf Yubikey5 und auf TPM-basierten, virtuellen SmartCards:
-> sind diese angreifbar, oder wären sie nur angreifbar, wenn man statt RSA ECC benutzt hätte?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 667981
Url: https://administrator.de/contentid/667981
Ausgedruckt am: 23.11.2024 um 08:11 Uhr
7 Kommentare
Neuester Kommentar
Moin,
Laut einem Freund betrifft das nur die ellypischen Kurven.
https://www.linkedin.com/posts/hans-joachim-knobloch-165527267_1380pdf-a ...
lks
Laut einem Freund betrifft das nur die ellypischen Kurven.
Und EUCLEAK betrifft ECDSA-Keys.
https://www.linkedin.com/posts/hans-joachim-knobloch-165527267_1380pdf-a ...
lks
Moin.
Ja, das möchte ich gerne auch so verstehen, dann hätten wir kein Problem, steht ja auch so in meinem Link.
Ist jemand anderer Meinung?
Ja, das möchte ich gerne auch so verstehen, dann hätten wir kein Problem, steht ja auch so in meinem Link.
Ist jemand anderer Meinung?
Mein Luetter steckt da tiefer drin bei "Problemen" mit den Yubikeys.
https://www.yubico.com/support/security-advisories/ysa-2024-03/
Wenn das Selbiges ist.
Dazu muss man wohl das Teil in der Hand haben.
https://www.yubico.com/support/security-advisories/ysa-2024-03/
Wenn das Selbiges ist.
Dazu muss man wohl das Teil in der Hand haben.
Zitat von @BassFishFox:
Mein Luetter steckt da tiefer drin bei "Problemen" mit den Yubikeys.
https://www.yubico.com/support/security-advisories/ysa-2024-03/
Mein Luetter steckt da tiefer drin bei "Problemen" mit den Yubikeys.
https://www.yubico.com/support/security-advisories/ysa-2024-03/
Auch da lese ich nur heraus, daß nur die Algorithmen der ellyptischen Kurven betroffen sind. Von daher gehe ich davon aus, daß andere Verfahren zumindest von EUCLEAK nicht betroffen sind.
lks
Und das der Angreifer der Stick/Key in der Hand haben muss.
Das lese ich aus dem Link ganz oben.
Das lese ich aus dem Link ganz oben.
Moin.
Der Eucleak-Finder selbst schreibt doch, dass RSA möglicherweise betroffen ist und es interessant wäre, das zu untersuchen:
Ob ECC oder RSA verwendet wird, spielt hier eine Rolle, da die Schwachstelle spezifisch die Schlüsselverwaltung betrifft
Wo genau entnimmst Du diese Information?Der Eucleak-Finder selbst schreibt doch, dass RSA möglicherweise betroffen ist und es interessant wäre, das zu untersuchen:
this report leaves open the following questions:
• Sensitive modular inversions are not exclusively found in the ECDSA scheme. It would be interesting to look at the RSA (and especially the key generation) and study the application of EUCLEAK there
• Sensitive modular inversions are not exclusively found in the ECDSA scheme. It would be interesting to look at the RSA (and especially the key generation) and study the application of EUCLEAK there
Zu deinem "ich empfehle, die Firmware zu aktualisieren" stimme ich zu, habe jedoch für Yubikeys keine Möglichkeit dazu. Yubico lässt Kunden keine FW-Updates machen.
Für tpm-Module von Mainboards hingegen geht das schon eher, aber da muss Infineon klarer kommunizieren, wo man die beziehen kann.
YubiKeys are programmed in Yubico’s facilities with the latest available firmware. Once programmed, YubiKeys cannot be updated to another version. The firmware cannot be altered or removed from a YubiKey.
Auszug aus https://docs.yubico.com/hardware/yubikey/yk-tech-manual/yk5-overview.htm ...Für tpm-Module von Mainboards hingegen geht das schon eher, aber da muss Infineon klarer kommunizieren, wo man die beziehen kann.
