Yubikey-Lücke: Hersteller will weder Update noch generell Ersatz bereitstellen
Yubico plant auch künftig keine Firmware-Updates für verwundbare Yubikeys. Über einen Ersatz will das Unternehmen im Einzelfall entscheiden.
(Bild: Bild erstellt mit KI in Bing Image Creator durch heise online / dmk)
Eine Sicherheitslücke in einer Infineon-Krypto-Bibliothek lässt sich mit physischem Besitz und teurem Equipment missbrauchen, um Secrets etwa aus Yubikeys abzugreifen. heise online hat bei Yubico nachgefragt, wie das Unternehmen mit der Situation umgehen will.
Zunächst wiegelt Yubico ab. Die Lücke betreffe nur ältere Geräte, nicht jedoch die seit 21. Mai 2024 verfügbaren Yubikeys mit Firmware-Versionen 5.7 und neuer. Die setze auf eine eigene kryptografische Bibliothek und nicht die für den Seitenkanalangriff anfällige Infineon-Bibliothek. Das war so weit bereits bekannt.
Kein Firmware-Update geplant
Bezüglich der Nachfrage, ob Firmware-Updates geplant seien, verweist eine Unternehmenssprecherin auf eine Support-Webseite von Yubico. Dort erläutert der Hersteller, dass die Firmware von Yubikeys nach der Herstellung und Bereitstellung nicht aktualisierbar sei: "Um Attacken auf die Yubikeys zu verhindern, die ihre Sicherheit kompromittieren könnten, erlaubt Yubikey nicht, auf die Firmware zuzugreifen oder sie zu verändern". Andere Hersteller wie Nitrokey ermöglichen aber durchaus Firmware-Updates und gegebenenfalls einen Werksreset zum Löschen der Daten. Grundsätzlich wären also sichere, kryptografisch signierte Firmware-Updates möglich – doch Yubikey beharrt auch angesichts der aktuellen Probleme auf seiner Entscheidung, dies nicht zu ermöglichen: "Wir glauben, keine Firmware-Updates zu erlauben, ist noch die beste Möglichkeit, die Sicherheit der Keys zu maximieren".
Yubikey-Inhaber sollen aufpassen
Im Fall der aktuell angreifbaren Keys sieht Yubico vor allem die Besitzer in der Pflicht. Der Angriff erfordert physischen Zugriff auf einen verwundbaren USB-Dongle. "Indem sie ihre YubiKeys in physischem Besitz behalten, vermeiden Nutzerinnen und Nutzer dieses Problem", erklärt die Sprecherin von Yubico, "Benutzer sollten Vorkehrungen treffen, um die physische Kontrolle über ihre Yubikeys zu behalten".
Sofern ein Stick verloren ginge oder gestohlen werde, sollten Inhaber die Keys von verbundenen Konten und Diensten deregistrieren. Eine Anleitung erläutert weitere Empfehlungen in derartigen Fällen. Außerdem empfiehlt der Hersteller, einen Backup-Key zu nutzen, um im Verlustfall weiter auf die Accounts zugreifen zu können. Der Hinweis erscheint jedoch widersinnig: Ein zweiter Stick mit verwundbarer Firmware erhöht insbesondere bei hohen Sicherheitsanforderungen das Risiko, dass einer gestohlen werden kann.
Yubico-Ersatz-Keys als Einzelfallentscheidung
Auf die Frage, ob Yubico verwundbare Keys ersetzt und gegen solche mit sicherer Firmware austauscht, bleibt der Hersteller zurückhaltend. "Wir evaluieren Anfragen auf einer Fall-für-Fall-Basis, abhängig vom Kunden-Szenario", erörtert Yubico. Genauere Hinweise zu Kriterien lieferte die Unternehmenssprecherin nicht. Der Kunden-Support sei über die Webseite zu erreichen.
Yubico legt Wert auf die Feststellung, dass das Unternehmen und auch der IT-Sicherheitsforscher Thomas Roche in seiner Arbeit die weitere Nutzung der (verwundbaren) FIDO-Authenticators vor dem Einsatz der schwächeren Authentifizierungsmethoden OTP oder SMS empfehlen. Die Nutzung sei immer noch besser, als keinen derartigen Schutz zu verwenden. Außerdem habe Yubico das Risiko aufgrund der für den Angriff nötigen außergewöhnlichen Ressourcen als moderat eingestuft.
Lesen Sie auch
Yubikey: Cloning-Angriff über Seitenkanal
(dmk)