Yubikey-Cloning-Attacke: Online-Ausweis nicht verwundbar
Im Personalausweis kommen teils Infineon-Chips zum Einsatz, die mittels EUCLEAK angegriffen wurden. Der Perso ist jedoch nicht anfällig.
(Bild: Bild erstellt mit KI in Bing Image Creator durch heise online / dmk)
Nachdem ein Seitenkanalangriff auf recht verbreitete Yubikeys, die etwa als FIDO2-Sticks zur Authentifizierung dienen, bekannt wurde, wurden einige heise-Leser hellhörig. Im Personalausweis mit Online-Funktionen werkeln demnach ebenfalls die betroffenen Mikrocontroller von Infineon. Die Frage, die sie damit stellten: sind die Ausweisdokumente nun auch angreif- und kopierbar?
Offenbar kamen die angegriffenen Infineon-Controller der SLE78-Serie zwischen 2013 und 2020 beim Personalausweis und auch bei anderen "hoheitlichen Dokumenten" zum Einsatz. Auf Anfrage von heise online antwortete das Bundesamt für Sicherheit in der Informationstechnik (BSI): "Der durch die Sicherheitsforschenden veröffentlichte Angriff wurde seitens des BSI intensiv untersucht. Das BSI kam zu dem Ergebnis, dass die in der Forschungsarbeit gezeigten Angriffe auf Hoheitliche Dokumente (Personalausweis, Reisepass, Aufenthaltstitel), wie diese im deutschen Markt verwendet werden, nicht erfolgreich durchführbar sind. Die vorgenannten Produkte sind demnach gegenüber den in der Forschungsarbeit skizzierten Angriffsszenarien als sicher zu betrachten."
Verwundbare Kombination kommt nicht zum Einsatz
Auf die konkrete Bedrohung durch den Einsatz der Infineon-ICs und der Infineon-Krypto-Bibliothek angesprochen, konkretisierte eine Sprecherin des BSI: "Die von den Sicherheitsforschenden publizierte Schwachstelle betrifft ausschließlich Chips des Herstellers Infineon in Kombination mit ihren Krypto-Bibliotheken. Diese Kombination findet bei den Hoheitlichen Dokumenten im deutschen Markt keine Verwendung."
Yubicos fallweise Entscheidung
Yubico hatte gegenüber heise online erklärt, dass das Unternehmen fallweise prüfen wolle, ob es betroffene Yubikeys austausche. Erste, heise online vorliegende Berichte von Betroffenen deuten darauf hin, dass Yubico Austauschanfragen von Einzelpersonen abschlägig beantwortet. Das Risiko sei lediglich gering, lautet die Begründung des Herstellers.
Lesen Sie auch
Yubikey: Cloning-Angriff über Seitenkanal
Vor rund zwei Wochen wurde der EUCLEAK-Angriff auf Yubikeys mit Infineon-Chips beim Einsatz von zugehörigen Infineon-Krypto-Bibliotheken bekannt. In neuerer Firmware-Version setzt Yubico auf eigene Bibliotheken, wodurch der Seitenkanalangriff, der physischen Zugriff, teure Ausrüstung und einiges an Know-how verlangt, nicht mehr funktioniert. Ein Firmware-Update ist aufgrund von Sicherheitsbedenken des Herstellers nicht vorgesehen und hardwareseitig durch das Setzen entsprechender Fuses der Mikrocontroller unterbunden.
(dmk)