derwowusste
Goto Top

EUCLEAK - wann ist SmartCard PIV betroffen?

Salve Kollegen!

https://ninjalab.io/eucleak/ beschreibt eine kürzlich bekannt gewordene Sicherheitslücke, die unter gewissen Randumständen ermöglicht, dass private Schlüssel von Angreifern gelesen werden können.

Betroffene Produkte:
All Infineon security microcontrollers embedding Infineon cryptographic library (any existing version). For instance, all existing versions of Infineon TPMs are affected.
All YubiKey 5 Series (with firmware version below 5.7)

Das ist nicht schön, da sowohl Infineon TPMs als auch Yubikey 5 sehr verbreitet sind.

Meine konkrete Frage ist zur Verwendung von RSA-basierten SmartCard-Zertifikaten (PIV) auf Yubikey5 und auf TPM-basierten, virtuellen SmartCards:

-> sind diese angreifbar, oder wären sie nur angreifbar, wenn man statt RSA ECC benutzt hätte?

Content-ID: 667981

Url: https://administrator.de/forum/eucleak-wann-ist-smartcard-piv-betroffen-667981.html

Ausgedruckt am: 24.12.2024 um 18:12 Uhr

Lochkartenstanzer
Lochkartenstanzer 09.09.2024 aktualisiert um 11:12:38 Uhr
Goto Top
Moin,

Laut einem Freund betrifft das nur die ellypischen Kurven.

Und EUCLEAK betrifft ECDSA-Keys.

https://www.linkedin.com/posts/hans-joachim-knobloch-165527267_1380pdf-a ...

lks
DerWoWusste
DerWoWusste 09.09.2024 um 12:52:01 Uhr
Goto Top
Moin.

Ja, das möchte ich gerne auch so verstehen, dann hätten wir kein Problem, steht ja auch so in meinem Link.

Ist jemand anderer Meinung?
BassFishFox
BassFishFox 09.09.2024 um 22:23:55 Uhr
Goto Top
Mein Luetter steckt da tiefer drin bei "Problemen" mit den Yubikeys.

https://www.yubico.com/support/security-advisories/ysa-2024-03/

Wenn das Selbiges ist.
Dazu muss man wohl das Teil in der Hand haben.
Lochkartenstanzer
Lochkartenstanzer 09.09.2024 um 22:28:24 Uhr
Goto Top
Zitat von @BassFishFox:

Mein Luetter steckt da tiefer drin bei "Problemen" mit den Yubikeys.

https://www.yubico.com/support/security-advisories/ysa-2024-03/

Auch da lese ich nur heraus, daß nur die Algorithmen der ellyptischen Kurven betroffen sind. Von daher gehe ich davon aus, daß andere Verfahren zumindest von EUCLEAK nicht betroffen sind.

lks
BassFishFox
BassFishFox 11.09.2024 um 17:38:25 Uhr
Goto Top
Und das der Angreifer der Stick/Key in der Hand haben muss.
Das lese ich aus dem Link ganz oben.
DerWoWusste
DerWoWusste 05.10.2024 um 08:30:57 Uhr
Goto Top
Moin.

Ob ECC oder RSA verwendet wird, spielt hier eine Rolle, da die Schwachstelle spezifisch die Schlüsselverwaltung betrifft
Wo genau entnimmst Du diese Information?
Der Eucleak-Finder selbst schreibt doch, dass RSA möglicherweise betroffen ist und es interessant wäre, das zu untersuchen:
this report leaves open the following questions:
• Sensitive modular inversions are not exclusively found in the ECDSA scheme. It would be interesting to look at the RSA (and especially the key generation) and study the application of EUCLEAK there
DerWoWusste
DerWoWusste 08.10.2024 aktualisiert um 11:11:29 Uhr
Goto Top
Zu deinem "ich empfehle, die Firmware zu aktualisieren" stimme ich zu, habe jedoch für Yubikeys keine Möglichkeit dazu. Yubico lässt Kunden keine FW-Updates machen.
YubiKeys are programmed in Yubico’s facilities with the latest available firmware. Once programmed, YubiKeys cannot be updated to another version. The firmware cannot be altered or removed from a YubiKey.
Auszug aus https://docs.yubico.com/hardware/yubikey/yk-tech-manual/yk5-overview.htm ...
Für tpm-Module von Mainboards hingegen geht das schon eher, aber da muss Infineon klarer kommunizieren, wo man die beziehen kann.