Abonner
SIKKERHET

Innrømmer stor svakhet: Enda flere fysiske sikkerhetsnøkler bør skiftes ut

Denne gang er det fire produkter fra svenske YubiKey.

De fire ulike YubiKey FIPS-modellene som er berørt av sikkerhetssvakheten.
De fire ulike YubiKey FIPS-modellene som er berørt av sikkerhetssvakheten. Illustrasjonsfoto: YubiKey. Montasje: digi.no
Del
Kommenter
Harald BrombachHarald BrombachNyhetsleder
16. juni 2019 - 11:29

Fysiske sikkerhetsnøkler for innlogging på PC-er og andre IT-enheter har de siste årene blitt fremmet som den sikreste måten å forhindre kapring av kontoer. Det stemmer muligens, men det er tydeligvis først nylig at sikkerhetsforskere har begynt å se med mer kritisk blikk på en del av egenskapene som sørger for denne sikkerheten.

Nylig ble det kjent at blant annet visse utgaver av Googles Titan-nøkler har en sikkerhetssvakhet som gjør at Google tilbyr kundene å bytte inn nøklene med nye, som ikke har denne svakheten. 

YubiKey

Denne uken ble det offentlig kjent at svenske YubiKey tilbyr eierne av visse utgaver av selskapets sikkerhetsnøkler om å bytte inn disse.

I en supportartikkel skriver selskapet at visse slumpverdier som brukes av YubiKey FIPS-applikasjoner etter oppstart, ikke er så tilfeldige som de burde være.

Avhengig av type nøkkel, er det et betydelig antall bit som kan være mulig å forutse av en angriper.

Blant annet kan ECC-nøkkelgenerering som har en minste nøkkellengde på 256 bit, ha 80 bit som kan forutsees av en angriper. I forbindelse med ECDSA-signaturer kan et tilsvarende antall forutsebare bit gjøre det mulig for en angriper å rekonstruere den private nøkkelen dersom angriperen får tilgang til flere signaturer. 

Kun fire modeller

Det er kun sikkerhetsnøkler i YubiKey FIPS-serien som er berørt, og kun de enhetene som har fastvare med versjonsnummeret 4.4.2 eller 4.4.4. Det finnes ingen utgitt fastvare med versjonsnummeret 4.4.3. 

Les også

Denne sikkerhetsnøkkelen gjør iPad og iPhone passordløs og mye sikrere

I artikkelen nevner YubiKey flere scenerier som kan være påvirket, men foreløpig seg det ut til at det er som FIDO U2F-autentiseringsnøkkel at YubiKey FIPS-nøklene helt sikkert er påvirket av krypteringssvakheten. 

Artikkelen fortsetter etter annonsen
annonsørinnhold
Computas
30.000 strømmet til Las Vegas for Google Cloud Next. Dette var høydepunktene

YubiKey skal selv ha oppdaget feilen i midten av mars. Den har blitt rettet i fastvareversjonen 4.4.5, som ble FIPS-sertifisert (Federal Information Processing Standards) den 30. april

Selskapet har siden da tatt kontakt med alle kjente kunder og mener at de aller fleste nå vil ha fått erstattet enheten sin. Berørte kunder som ikke har blitt kontaktet av YubiKey bør selv ta kontakt med selskapet via dette skjemaet.

Les også: To-faktor autentisering med engangskoder kan relativt enkelt omgås av angripere

Les mer om:
SIKKERHETSIKKERHETSNØKKELYUBIKEY FIPS
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Forbrukerrådet
Azure utviklere
Forbrukerrådet
Oslo
19. mai
    En tjeneste fra