Yubikey-Seitenkanal: Weitere Produkte für Cloning-Attacke anfällig

Die Seitenkanal-Lücke EUCLEAK wurde auch als "Yubikey-Cloning-Attacke" bekannt. Das BSI re-zertifiziert aktualisierte Produkte, die betroffen waren.

In Pocket speichern vorlesen Druckansicht 23 Kommentare lesen
Ein Krimineller untersucht einen USB-Dongle, rundherum Sicherheitssymbole

(Bild: Bild erstellt mit KI in Bing Image Creator durch heise online / dmk)

Lesezeit: 4 Min.
Von

Die auch als "Yubikey-Cloning-Attacke" bekanntgewordene Sicherheitslücke EUCLEAK betrifft weitere Produkte. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert Sicherheitslösungen wie TPM-Chips mit zugehöriger Software, die Daten geschützt ablegen, nach sogenannten Common Criteria. Einige vom BSI zertifizierte Lösungen wiesen offenbar die EUCLEAK-Lücke auf und mussten rezertifiziert werden, da sie nur mit aktualisierter Software den Sicherheitskriterien entsprechen.

Durch die EUCLEAK-Seitenkanalschwachstelle lässt sich das Secret für digitale Signaturen ergattern und damit digitale Signaturen auch ohne Besitz des Sicherheitstokens erstellen und somit fälschen. Kurz nach Bekanntwerden kam die Befürchtung auf, dass einige Varianten des ePerso betroffen sein könnten, da auch darin unter anderem Infineon-ICs zum Einsatz kommen. Das BSI hatte hier jedoch Mitte September Entwarnung gegeben: Der Perso ist nicht verwundbar.

Organisationen und Hersteller, teils auch in staatlichem Auftrag, verlassen sich auf die Sicherheit von derart zertifizierten Produktkombinationen, die sie etwa in eigenen Produkten wie Ausweisen einsetzen. Thomas Roche warf gegenüber heise online die Frage auf, ob möglicherweise weitere Produkte die EUCLEAK-Lücke aufweisen, die das BSI als renommierte IT-Sicherheitsbehörde zertifiziert hat. Auf unsere Nachfrage hat das BSI nach einiger Zeit zurückgemeldet, dass einige Rezertifizierungen von TPMs erfolgt sind, die mit aktualisierter Software die EUCLEAK-Schwachstelle ausgebessert haben.

Konkret sind demnach bislang drei Zertifikate neu ausgestellt worden für TPMs mit aktualisierter Software: BSI-DSZ-CC-1244-2024, BSI-DSZ-CC-1245-2024 und BSI-DSZ-CC-1246-2024. Dabei handelt es sich um Infineon-TPM-Chips der Spezifikation 2.0 mit konkret neueren Firmware- respektive Software-Versionen. Welche Einrichtungen die in welchen Produkten einsetzen, ist jedoch nicht bekannt. Die "Analyse und Bewertung von Produkten, die auf Infineon-Chips und deren Kryptobibliotheken aufbauen" dauert einer BSI-Sprecherin zufolge noch an. Sie ergänzte, dass es "detaillierter Abstimmungen unter Einbezug von Herstellern, Prüfstellen und gegebenenfalls weiterer externer Stellen" bedarf.

Wir wollten zudem wissen, ob und wie Hersteller und Kunden von problematischen Produkten erfahren und ob beispielsweise Updates möglich sind, um die Lücke zu schließen. Ein BSI-Sprecher erklärte nun dazu: "Bei den Produkten mit zugehörigen Zertifikaten, bei denen eine Sicherheitslücke nachgewiesen werden konnte, handelt es sich um Teile von komplexen Supply-Chains, die in der Regel nicht den Endverbraucher als Kunden adressieren. Hersteller, die zertifizierte Produkte verwenden, informieren ihre jeweiligen Kunden je nach Ergebnis der Analysen, gegebenenfalls auch über individuelle Update-Möglichkeiten. Darüber hinaus hat das BSI auch gemäß den Vorgaben des SOG-IS Disclosure Prozesses informiert."

"Die Einsatz-Szenarien der Endprodukte sind sehr unterschiedlich. Einige Produkte können mit Updates aktualisiert werden, andere müssen eventuell gemäß Risikomanagement behandelt werden. Das BSI begleitet diese Prozesse bei Bedarf und im Kontext des Coordinated-Vulnerability-Disclosure-Prozesses", ergänzte der Behördensprecher.

Anfang September hatte der IT-Sicherheitsforscher Thomas Roche in einer Analyse Details zu den Angriffen auf die Seitenkanal-Schwachstellen in Infineon-ICs und bestimmten zugehörigen Infineon-Softwarebibliotheken erörtert. Für einen Angriff benötigt man physischen Zugang, teures Equipment, angepasste Software und technische Begabung, was ihn weniger wahrscheinlich mache. Konkret lassen sich mit Timing-Informationen für nicht konstante Rechenzeit bei der Berechnung einer modularen Inversion in der ECDSA-Implementierung der Infineon-Bibliothek Rückschlüsse auf das Secret für die digitalen Signaturen ziehen. Damit lassen sich am Ende gültige Signaturen auch ohne ein Sicherheitstoken erstellen.

(dmk)