EUCLEAK - wann ist SmartCard PIV betroffen?
Salve Kollegen!
https://ninjalab.io/eucleak/ beschreibt eine kürzlich bekannt gewordene Sicherheitslücke, die unter gewissen Randumständen ermöglicht, dass private Schlüssel von Angreifern gelesen werden können.
Betroffene Produkte:
Das ist nicht schön, da sowohl Infineon TPMs als auch Yubikey 5 sehr verbreitet sind.
Meine konkrete Frage ist zur Verwendung von RSA-basierten SmartCard-Zertifikaten (PIV) auf Yubikey5 und auf TPM-basierten, virtuellen SmartCards:
-> sind diese angreifbar, oder wären sie nur angreifbar, wenn man statt RSA ECC benutzt hätte?
https://ninjalab.io/eucleak/ beschreibt eine kürzlich bekannt gewordene Sicherheitslücke, die unter gewissen Randumständen ermöglicht, dass private Schlüssel von Angreifern gelesen werden können.
Betroffene Produkte:
All Infineon security microcontrollers embedding Infineon cryptographic library (any existing version). For instance, all existing versions of Infineon TPMs are affected.
All YubiKey 5 Series (with firmware version below 5.7)
All YubiKey 5 Series (with firmware version below 5.7)
Das ist nicht schön, da sowohl Infineon TPMs als auch Yubikey 5 sehr verbreitet sind.
Meine konkrete Frage ist zur Verwendung von RSA-basierten SmartCard-Zertifikaten (PIV) auf Yubikey5 und auf TPM-basierten, virtuellen SmartCards:
-> sind diese angreifbar, oder wären sie nur angreifbar, wenn man statt RSA ECC benutzt hätte?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 667981
Url: https://administrator.de/forum/eucleak-wann-ist-smartcard-piv-betroffen-667981.html
Ausgedruckt am: 24.12.2024 um 18:12 Uhr
7 Kommentare
Neuester Kommentar
Moin,
Laut einem Freund betrifft das nur die ellypischen Kurven.
https://www.linkedin.com/posts/hans-joachim-knobloch-165527267_1380pdf-a ...
lks
Laut einem Freund betrifft das nur die ellypischen Kurven.
Und EUCLEAK betrifft ECDSA-Keys.
https://www.linkedin.com/posts/hans-joachim-knobloch-165527267_1380pdf-a ...
lks
Mein Luetter steckt da tiefer drin bei "Problemen" mit den Yubikeys.
https://www.yubico.com/support/security-advisories/ysa-2024-03/
Wenn das Selbiges ist.
Dazu muss man wohl das Teil in der Hand haben.
https://www.yubico.com/support/security-advisories/ysa-2024-03/
Wenn das Selbiges ist.
Dazu muss man wohl das Teil in der Hand haben.
Zitat von @BassFishFox:
Mein Luetter steckt da tiefer drin bei "Problemen" mit den Yubikeys.
https://www.yubico.com/support/security-advisories/ysa-2024-03/
Mein Luetter steckt da tiefer drin bei "Problemen" mit den Yubikeys.
https://www.yubico.com/support/security-advisories/ysa-2024-03/
Auch da lese ich nur heraus, daß nur die Algorithmen der ellyptischen Kurven betroffen sind. Von daher gehe ich davon aus, daß andere Verfahren zumindest von EUCLEAK nicht betroffen sind.
lks