Некоторые устройства YubiKey FIPS признаны ненадежными из-за бага - «Новости»

Xakep #242. Фаззинг

• Содержание выпуска


• Подписка на «Хакер»

Инженеры компании Yubico сообщили, что некоторые аппаратные ключи компании были признаны ненадежными. Дело в том, что проблема в прошивке позволяет снизить произвольность криптографических ключей, генерируемых уязвимыми устройствами.

Багу подвержены девайсы модельного ряда YubiKey FIPS – эти аутентификационные устройства соответствуют американским федеральным стандартам обработки информации (Federal Information Processing Standards, FIPS) и сертифицированы для использования в правительственных сетях США. Представители Yubico предостерегают владельцев следующих девайсов:

• YubiKey FIPS


• YubiKey Nano FIPS


• YubiKey C FIPS


• YubiKey C Nano FIPS

По данным разработчиков Yubico, проблема затрагивает устройства серии YubiKey FIPS, работающие под управлением прошивок 4.4.2 и 4.4.4 (прошивка версии 4.4.3 не выходила). Из-за бага «некоторый предсказуемый контент» в оседает буфере устройства. Этот «предсказуемый контент» и влияет на  случайность криптографических ключей, которые генерируются на устройстве в течение короткого периода после загрузки, пока «предсказуемый контент» не будет использован, и в буфере не появятся действительно случайные данные.

Фактически это означает, что такие ключи, генерируемые на устройствах YubiKey FIPS, работающих под управлением прошивок 4.4.2 и 4.4.4, можно восстановить частично или полностью (в зависимости от конкретного использующегося криптографического алгоритма и вариантов использования).

Разработчики Yubico просят владельцев YubiKey FIPS проверить версии прошивок своих устройств и посетить специальную страницу, если девайсу требуется обмен. Компания обещает предоставить всем пострадавшим новые YubiKey FIPS с прошивкой 4.4.5, где баг был исправлен.