______________________________________________________________________________________________________________

HackFix.ru - информационный портал,рассказывающий о событиях в области защиты информации,
взломах,инструментах аудита,программировании для пентестеров!

Некоторые устройства YubiKey FIPS признаны ненадежными из-за бага

Инженеры компании Yubico сообщили, что некоторые аппаратные ключи компании были признаны ненадежными. Дело в том, что проблема в прошивке позволяет снизить произвольность криптографических ключей, генерируемых уязвимыми устройствами.

Багу подвержены девайсы модельного ряда YubiKey FIPS – эти аутентификационные устройства соответствуют американским федеральным стандартам обработки информации (Federal Information Processing Standards, FIPS) и сертифицированы для использования в правительственных сетях США. Представители Yubico предостерегают владельцев следующих девайсов:

  • YubiKey FIPS
  • YubiKey Nano FIPS
  • YubiKey C FIPS
  • YubiKey C Nano FIPS

По данным разработчиков Yubico, проблема затрагивает устройства серии YubiKey FIPS, работающие под управлением прошивок 4.4.2 и 4.4.4 (прошивка версии 4.4.3 не выходила). Из-за бага «некоторый предсказуемый контент» в оседает буфере устройства. Этот «предсказуемый контент» и влияет на  случайность криптографических ключей, которые генерируются на устройстве в течение короткого периода после загрузки, пока «предсказуемый контент» не будет использован, и в буфере не появятся действительно случайные данные.

Фактически это означает, что такие ключи, генерируемые на устройствах YubiKey FIPS, работающих под управлением прошивок 4.4.2 и 4.4.4, можно восстановить частично или полностью (в зависимости от конкретного использующегося криптографического алгоритма и вариантов использования).

Разработчики Yubico просят владельцев YubiKey FIPS проверить версии прошивок своих устройств и посетить специальную страницу, если девайсу требуется обмен. Компания обещает предоставить всем пострадавшим новые YubiKey FIPS с прошивкой 4.4.5, где баг был исправлен.

 

источник

Добавить комментарий

Ваш e-mail не будет опубликован.

______________________________________________________________________________________________________________
^ Наверх