网络安全公司 NinjaLab 日前发布安全公告透露 Yubico 等硬件安全密钥存在的安全漏洞,Yubico 旗下的 Yubikey 是目前最流行的硬件安全密钥之一,不过实际受到该漏洞影响的远远不只是硬件安全密钥,其他涉及到英飞凌 TPM 安全模块或控制器的设备也受影响。
问题根源在于英飞凌安全微控制器使用的加密库存在缺陷,研究人员在物理接触硬件安全密钥的情况下,最长可以在 24 小时内完成数据解密。
然而此次问题严重影响 Yubico 硬件安全密钥,因为该公司制造的不少硬件安全密钥不支持固件更新功能,这意味着漏洞无法修复而是长期存在,除非用户放弃使用旧密钥购买新密钥。
要想通过这个漏洞展开攻击难度非常大,也就是说在现实世界中如果真有人利用此漏洞进行攻击,那花费的成本可能也是非常高的,因此大多数用户不会受该问题影响。
在这种情况下继续使用存在侧通道攻击缺陷的 YubiKey 仍然比不使用硬件密钥安全,毕竟硬件安全密钥的好处在于无法远程攻击,再强大的攻击者也得物理接触到设备后才能操作。
说到这蓝点网还想起来 Yubico 在今年 5 月份发布 5.7 版固件,该固件也仅适用于新出厂的设备,当时 Yubico 没透露这个新固件是干嘛用的,现在知道了,是用来修复侧通道攻击漏洞的 (此漏洞在 4 月份通报给 Yubico 的)
下面是受影响的产品版本:
YubiKey 5 系列 5.7 之前的版本
YubiKey 5 FIPS 系列 5.7 之前的版本
YubiKey 5 CSPN 系列 5.7 之前的版本
YubiKey Bio 系列 5.7.2 之前的版本
安全密钥系列 5.7 之前的版本
YubiHSM 2.4 之前的版本
YubiHSM 2 FIPS 2.4 之前的版本
上面提到的版本号其实也就是 YubiKey 修复的版本号,遗憾的是根据 Yubico 公司的安全政策,硬件密钥出厂后不再支持更换固件,这个政策是防止密钥出厂后被恶意行为者刷入恶意固件的。
因此搭载旧版本固件的 YubiKey 无法更新固件而漏洞永远存在,好在这个漏洞说起来对大多数用户的影响有限,可能在高安全环境中用户尤其是企业或机构用户应当立即购买新的硬件安全密钥进行替换。
最后英飞凌的微控制器漏洞影响的远不只是 YubiKey,但哪些产品还使用这些微控制器还不清楚,英飞凌至今也没有回应安全公司的邮件。