Interview mit Thomas Roche über die EUCLEAK-Lücke
Thomas Roche hat im September 2024 einen Seitenkanalangriff auf eine Reihe von Infineon-Chips entdeckt, der einen Fehler in der Krypto-Bibliothek ausnutzt.
Der Sicherheitsforscher Thomas Roche zeigte auf der Hacker-Konferenz hardwear.io, zu was der EUCLEAK-Angriff imstande ist.
(Bild: Wilhelm Drehling)
Thomas Roche beschrieb im September 2024 einen Seitenkanalangriff auf Infineon-Chips, mit dem man unter anderem private Schlüssel aus dem FIDO2-Stick Yubikey extrahieren kann. Der auf den Namen EUCLEAK getaufte Angriff ist aber nicht trivial, sondern erfordert Spezialequipment, Know-how, einen direkten Zugriff auf den Chip im Yubikey und setzt vor allem eine fehlerhafte Kryptografie-Bibliothek auf dem Chip voraus.
Auch der Personalausweis verwendet solche Chips, doch das Bundesamt für Sicherheit in der Informationstechnik (BSI) konnte mittlerweile hierfür eine Entwarnung geben, weil der Ausweis diese Bibliothek nicht nutzt.
Seine Erkenntnisse veröffentlichte Roche in einem ausführlichen Aufsatz und stellte sie in einer Präsentation auf der hardwear.io-Konferenz vor. Die Reaktionen des BSI und Yubico, dem Unternehmen hinter dem Yubikey, begleitete heise online in mehreren Meldungen. Im Interview erklärte Roche uns den Angriff und seine Konsequenzen.
Das war die Leseprobe unseres heise-Plus-Artikels "Interview mit Thomas Roche über die EUCLEAK-Lücke". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.
