derwowusste
09.09.2024
view906
view5
0
Goto Top

EUCLEAK - wann ist SmartCard PIV betroffen?

FrageVerschlüsselung, Zertifikate
Salve Kollegen!

https://ninjalab.io/eucleak/ beschreibt eine kürzlich bekannt gewordene Sicherheitslücke, die unter gewissen Randumständen ermöglicht, dass private Schlüssel von Angreifern gelesen werden können.

Betroffene Produkte:
All Infineon security microcontrollers embedding Infineon cryptographic library (any existing version). For instance, all existing versions of Infineon TPMs are affected.
All YubiKey 5 Series (with firmware version below 5.7)

Das ist nicht schön, da sowohl Infineon TPMs als auch Yubikey 5 sehr verbreitet sind.

Meine konkrete Frage ist zur Verwendung von RSA-basierten SmartCard-Zertifikaten (PIV) auf Yubikey5 und auf TPM-basierten, virtuellen SmartCards:

-> sind diese angreifbar, oder wären sie nur angreifbar, wenn man statt RSA ECC benutzt hätte?
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 667981

Url: https://administrator.de/contentid/667981

Ausgedruckt am: 26.09.2024 um 23:09 Uhr

5 Kommentare
Neuester Kommentar
Goto Top
Lochkartenstanzer
Lochkartenstanzer 09.09.2024 aktualisiert um 11:12:38 Uhr
Goto Top
Moin,

Laut einem Freund betrifft das nur die ellypischen Kurven.

Und EUCLEAK betrifft ECDSA-Keys.

https://www.linkedin.com/posts/hans-joachim-knobloch-165527267_1380pdf-a ...

lks
DerWoWusste
DerWoWusste 09.09.2024 um 12:52:01 Uhr
Goto Top
Moin.

Ja, das möchte ich gerne auch so verstehen, dann hätten wir kein Problem, steht ja auch so in meinem Link.

Ist jemand anderer Meinung?
BassFishFox
BassFishFox 09.09.2024 um 22:23:55 Uhr
Goto Top
Mein Luetter steckt da tiefer drin bei "Problemen" mit den Yubikeys.

https://www.yubico.com/support/security-advisories/ysa-2024-03/

Wenn das Selbiges ist.
Dazu muss man wohl das Teil in der Hand haben.
Lochkartenstanzer
Lochkartenstanzer 09.09.2024 um 22:28:24 Uhr
Goto Top
Zitat von @BassFishFox:

Mein Luetter steckt da tiefer drin bei "Problemen" mit den Yubikeys.

https://www.yubico.com/support/security-advisories/ysa-2024-03/

Auch da lese ich nur heraus, daß nur die Algorithmen der ellyptischen Kurven betroffen sind. Von daher gehe ich davon aus, daß andere Verfahren zumindest von EUCLEAK nicht betroffen sind.

lks
BassFishFox
BassFishFox 11.09.2024 um 17:38:25 Uhr
Goto Top
Und das der Angreifer der Stick/Key in der Hand haben muss.
Das lese ich aus dem Link ganz oben.
FrageVerschlüsselung, Zertifikate
Mehr von DerWoWussteDerWoWussteSmartCard-basierte digitale Mailsignatur in OutlookDerWoWusste - 3 KommentareDerWoWussteWindows Kontextmenü um "Create Shortcut and move" erweiternDerWoWusste - 8 KommentareDerWoWussteUngewollter Datenabfluss via Mail dank Outlooks AutovervollständigungDerWoWusste - 8 KommentareDerWoWussteBeliebte Phisher-MaildomainsDerWoWusste - 18 Kommentare
Heiß diskutiert
MrHeisenbergBitLocker und HDDCloneMrHeisenberg - 50 KommentarePlexi-SquadWindows Server Essentials 2022 Netzwerk ProblemePlexi-Squad - 24 KommentareTerraITFSLogix - Profile Container werden teilweise nicht geladenTerraIT - 22 KommentarepcpanikWSUS stirbt aus - Azure Update Manager soll es richten, CAWUM Erfahrungen?pcpanik - 21 KommentarekreuzbergerPC Privatkauf mit Win11 - digitaler Lizenzschlüsselkreuzberger - 19 KommentareDumpfbackeKaufempfelung USVDumpfbacke - 18 KommentareTest12121Batch - Dateien aus Ordnerstruktur verschiebenTest12121 - 18 Kommentareprplemk2Interne Domain anlegen Windows DNSprplemk2 - 16 KommentareDarkZoneSDDruckerzuweisung über GebäudepläneDarkZoneSD - 16 Kommentarecasi4711GPO Script mit Robocopy schlägt fehlcasi4711 - 15 KommentareTomTom89Linux Mail Server - SSL Zertifikat - wird falsch abgefragtTomTom89 - 13 KommentareAbstrackterSystemimperatorKaufempfehlung: neuer Laptop für die ZukunftAbstrackterSystemimperator - 13 Kommentare