Yubikey: Cloning-Angriff über Seitenkanal

IT-Sicherheitsforscher haben eine Sicherheitslücke in der Firmware von Yubikey und YubiHSM von Yubico entdeckt, die Angreifern das Abgreifen von privaten Schlüsseln erlauben kann. Allerdings ist das Ausnutzen alles andere als trivial und setzt physischen Zugriff auf den Stick sowie kostspieliges Elektronik-Equipment, Know-how und mehr voraus.

Der Hersteller Yubico hat eine Sicherheitsmitteilung zu der Schwachstelle herausgegeben und ordnet sie darin ein. Der Fehler geht auf eine Lücke in einer Krypto-Bibliothek von Infineon zurück, die Yubico in den alten Firmware-Versionen einsetzt. "Angreifer können das Problem ausnutzen als Teil eines fortschrittlichen und gezielten Angriffs, um private Schlüssel wiederherzustellen", erklären die Entwickler von Yubico. "Angreifer benötigen physischen Zugriff auf den Yubikey, Security Key oder YubiHSM, müssen die anvisierten Accounts kennen und benötigen spezielle Ausrüstung zum Ausführen des Angriffs." Je nach Anwendungsfall seien weitere Informationen wie Nutzernamen, PIN, Konto-Passwort oder Authentifizierungsschlüssel nötig.

Einsatz als FIDO-Stick betroffen

Vorrangig von dem Problem betroffen sei der Einsatz als FIDO-Stick, da der FIDO auf die betroffene Funktion standardmäßig zurückgreift. Je nach ausgewählter Konfiguration und gewähltem Algorithmus können auch Yubikey PIV, OpenPGP-Anwendungen und YubiHSM-2-Nutzung betroffen sein. Die Sicherheitslücke hat den CVE-Eintrag CVE-2024-45678 erhalten und gilt mit einem CVSS-Wert von 4.9 als mittleres Risiko.

Details zu den Angriffen und Seitenkanal-Schwachstellen liefert das Papier "EUCLEAK" von Thomas Roche von den NinjaLabs aus Frankreich. Es handelt sich um einen Seitenkanalangriff auf die ECDSA-Implementierung in der Infineon-Bibliothek, die zahlreiche Infineon-Sicherheits-Controller und TPMs einsetzen. Der Angriff basiert auf nicht-konstanter Rechenzeit für eine modulare Inversion – aus den Timing-Informationen lassen sich Rückschlüsse auf das Secret für die digitalen Signaturen ziehen. Mit dem lassen sich dann gültige Signaturen auch ohne das Token erstellen.

Thomas Roche weist ausdrücklich darauf hin, dass der primäre Einsatzzweck von Yubikeys und ähnlichen Produkten ist, Phishing-Attacken zu bekämpfen. "Die EUCLEAK-Attacke benötigt physischen Zugriff zum Gerät, teure Ausrüstung, angepasste Software und technische Begabung. Daher, soweit es die vorgestellte Arbeit betrifft, ist es immer noch sicherer, den Yubikey oder andere betroffene Produkte als FIDO-Hardware-Authentifzierungstoken zu nutzen, um sich in Anwendungen anzumelden, als keinen zu verwenden", bekräftigt Roche.

Betroffene Produkte

Betroffen sind Yubikey 5, Yubikey 5 FIPS, Yubikey 5 CSPN und Security Key vor Version 5,7, Yubikey Bio vor 5.7.2 sowie YubiHSM 2 und YubiHSM 2 FIPS vor 2.4.0. Ein Update der Firmware von Yubikeys ist nicht vorgesehen. Das bedeutet, dass man die Sicherheitslücke nicht schließen kann und die Tokens zum Beseitigen des Problems folglich entsorgen müsste. Ob das außerhalb von Hochsicherheitsumgebungen angesichts des begrenzten Risikos wirklich erforderlich ist, muss jeder selbst entscheiden. Eine Nachfrage von heise Security, ob Yubico für einen solchen Austausch wenigstens vergünstigte Konditionen anbieten will, hat der Hersteller bislang nicht beantwortet.

In der Sicherheitsmitteilung erörtert Yubico zumindest noch einige Gegenmaßnahmen für die alten Sticks, die das Risiko weiter reduzieren können. Grundsätzlich ist die Einrichtung etwa eines PIN- oder gar biometrischen Schutzes für den Zugriff auf die Dongles sinnvoll – Angreifer müssten dann erst einmal in deren Besitz gelangen. Für die FIDO-Authentifizierung könne die Session-Dauer verkürzt und so eine häufigere FIDO-Authentifizierung verlangt werden. Dadurch ließen sich verlorene oder gestohlene Schlüssel schneller erkennen und das Zeitfenster für eine Bedrohung für Angriffe reduziert werden. Für den Einsatz von Yubikey für PIV- und OpenPGP-Signaturschlüssel könne eine Umstellung auf RSA-Schlüssel Abhilfe schaffen, das gelte auch für YubiHSM.

Auf Tokens mit der Firmware-Version 5.7 und neuer setzt Yubico anstelle der anfälligen Infineon-Bibliothek eine eigene kryptografische Bibliothek ein, die nicht betroffen sei. Roche zählt jedoch weitere potenzielle Opfer für seinen Seitenkanalangriff auf. Er vermutet, dass alle Produkte, die Security Mikrocontroller von Infineon einsetzen und dabei die Infineon Krypto-Bibliothek nutzen, angreifbar sein könnten. Konkret nachweisen konnte er das bei der Feitian A22 JavaCard, die aber laut Hersteller nicht mehr im Einsatz sein soll.

(dmk)