Yubico将替代易受攻击的YubiKey FIPS平安密钥

释放双眼,带上耳机,听听看~!

Yubico本日示意,它设计替换某些硬件平安密钥,因为固件缺点会下降其装备生成的加密密钥的随机性。

受影响的产物包括YubiKey FIPS系列的模子部份,YubiKey认证密钥系列已依据美国政府的联邦信息处理规范(FIPS)认证,可在美国政府收集(和其他收集)上运用。

启动毛病解临时下降加密密钥的随机性

依据本日宣布的Yubico平安通告,运转固件版本4.4.2和4.4.4的YubiKey FIPS系列装备包括一个毛病,该毛病解在启动操纵后在装备的数据缓冲区内保存“一些可展望的内容”。

这类“可展望内容”将影响在启动后短时间内涵装备上生成的加密密钥的随机性,直到“可展望内容”悉数用完为止,而且真正的随机数据存在于缓冲区中。

这意味着在启动带有受影响的4.4.2和4.4.4版本的YubiKey FIPS系列装备后的短时间内,将生成能够部份或悉数恢复的密钥,详细取决于密钥正在运用的加密算法。特定的身份验证操纵。

比方:

关于ECDSA署名,RSA密钥能够受最多80个可展望位的影响- 关于ECDSA署名,随机数K变得显著倾向,个中256位中的80位是静态的,致使弱署名

– 关于ECC密钥生成时,密钥能够受最小256位密钥长度中多达80个可展望位的影响

– 关于ECC加密,私有密钥的16位变成已知

– 关于secp256r1私钥,密钥能够受16个可展望位的影响,将密钥中的未知位数从256位削减到240位

– 关于secp384r1私钥,密钥中未知位的数目从384位削减到368位

YUBICO供应替代品

Yubico如今发起YubiKey FIPS系列的所有者搜检他们的密钥的固件版本,并在其门户网站上注册替换 – 假如他们还没有收到。

Yubico示意,客户将收到新的YubiKey FIPS系列按键,其牢固版本为4.4.5。

YubiKey FIPS系列固件版本4.4.3未列为受影响,因为Yubico从未宣布它,并从4.4.2跳到4.4.4。

在该公司本日宣布的技术咨询中,该公司还列出了一些能够影响YubiKey FIPS系列的认证顺序的状况。

比方,基于FIDO U2F的身份验证历程被确以为受影响,而YubiKey FIPS系列密钥与智能卡,OATH一次性暗码和OpenPGP一同运用能够会下降某些状况下身份验证历程的平安性。

没什么大不了的,但也不值得无视

总而言之,攻击者应用此破绽的危险性很小,因为阻拦身份验证操纵然后突破其他加密密钥的请求很庞杂。

但是,用户最好不要冒任何风险,特别是假如这些密钥用于高度敏感的收集中。

Yubico是上个月第二家在发明平安密钥毛病后供应替代品的公司。本年5月,因为密钥的蓝牙配对协定中发明破绽,谷歌宣布了一些Titan平安密钥的召回。

人已赞赏
安全新闻

一款超高规格的Windows 10工作站 能够让你回到73000美圆

2019-11-15 0:21:08

安全新闻

DJI的新款500美圆RC机器人装备了一个摄像头

2019-11-15 0:21:13

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索