IT之家 9 月 5 日訊息,來自 NinjaLab 的湯瑪斯羅什(Thomas Roche)報告新安全漏洞, 並設計了 EUCLEAK 側通道攻擊,可以複制 YubiKey FIDO 金鑰。
羅什在使用英飛淩(Infineon) SLE78 安全微控制器的 FIDO 裝置(如 Yubico 的 YubiKey 5 系列)中發現了該 EUCLEAK 漏洞,透過側通道攻擊利用 EM 提取橢圓曲線數位簽名演算法(ECDSA)金鑰,從而複制 FIDO 裝置。
羅什坦言這種攻擊方式比較復雜,需要攻擊者深度了解電子學和密碼學,並需要借助專業裝置。
該漏洞影響執行固件版本早於 5.7.0 的 YubiKey 5 系列裝置,該固件使用英飛淩有缺陷的加密庫,IT之家附上受 EUCLEAK 影響的裝置如下:
5.7 之前的 YubiKey 5 系列版本
5.7 之前的 YubiKey 5 FIPS 系列
5.7 之前的 YubiKey 5 CSPN 系列
5.7.2 之前的 YubiKey Bio 系列版本
5.7 之前版本的所有 Security Key 系列
2.4.0 之前的 YubiHSM 2 版本
2.4.0 之前的 YubiHSM 2 FIPS 版本
