IT之家 9 月 5 日訊息,來自 NinjaLab 的杜文羅什(Thomas Roche)報告新安全漏洞, 並設計了 EUCLEAK 側通道攻擊,可以複制 YubiKey FIDO 金鑰。
羅什在使用英飛淩(Infineon) SLE78 安全微控制器的 FIDO 器材(如 Yubico 的 YubiKey 5 系列)中發現了該 EUCLEAK 漏洞,透過側通道攻擊利用 EM 提取橢圓曲線數碼簽名演算法(ECDSA)金鑰,從而複制 FIDO 器材。
羅什坦言這種攻擊方式比較復雜,需要攻擊者深度了解電子學和密碼學,並需要借助專業器材。
該漏洞影響執行固件版本早於 5.7.0 的 YubiKey 5 系列器材,該固件使用英飛淩有缺陷的加密庫,IT之家附上受 EUCLEAK 影響的器材如下:
5.7 之前的 YubiKey 5 系列版本
5.7 之前的 YubiKey 5 FIPS 系列
5.7 之前的 YubiKey 5 CSPN 系列
5.7.2 之前的 YubiKey Bio 系列版本
5.7 之前版本的所有 Security Key 系列
2.4.0 之前的 YubiHSM 2 版本
2.4.0 之前的 YubiHSM 2 FIPS 版本