YubiKeys kwetsbaar voor aanval waardoor private keys zijn te stelen (2024)

Nieuws

woensdag 4 september 2024, 15:24 door Redactie, 16 reacties

Laatst bijgewerkt: 04-09-2024, 15:47

Verschillende modellen YubiKeys van fabrikant Yubico zijn kwetsbaar voor een side-channel-aanval waardoor een aanvaller private keys kan stelen en een kloon kan maken. Yubico heeft nieuwe versies uitgebracht om het probleem te verhelpen. Omdat de firmware van YubiKeys niet is te updaten, blijven oude versies permanent kwetsbaar. Volgens de fabrikant zou misbruik onderdeel van een 'geraffineerde en gerichte aanval' moeten zijn en moet een aanvaller fysieke toegang tot de YubiKey hebben.

YubiKeys zijn fysieke beveiligingssleutels waarmee gebruikers op hun accounts kunnen inloggen. Een kwetsbare cryptolibrary in de Infineon security microcontroller waar de sleutels gebruik van maken, maakt het mogelijk om via een side-channel-aanval de ECDSA secret key te achterhalen, aldus de onderzoekers van NinjaLab die het probleem ontdekten (pdf). Ze stellen dat hiervoor een paar minuten genoeg is. De kwetsbaarheid is al veertien jaar in de aanwezige library aanwezig, zo laten ze verder weten. Het uitvoeren van de aanval zou zo'n 10.000 euro aan materiaal kosten.

Bij een side-channel-aanval weet een aanvaller door alleen de werking van een apparaat, protocol of algoritme vertrouwelijke informatie af te leiden. In dit geval is de side-channel de hoeveelheid tijd die nodig is voor een wiskundige berekening, ook bekend als 'modular inversion'. De cryptolibrary van Infineon maakt geen gebruik van een bekende side-channel-verdediging genaamd constant time. Deze maatregel zorgt ervoor dat de berekeningstijd niet afhankelijk is van de invoer.

De kwetsbaarheid is aanwezig in YubiKey 5, YubiKey 5 FIPS, YubiKey 5 CSPN, YubiKey Bio, Security Key, YubiHSM 2 en YubiHSM 2 FIPS. NinjaLab informeerde Yubico op 19 april over het probleem. Op 21 mei verscheen YubiKey 5.7 waarin het probleem is verholpen. Afgelopen maandag kwam YubiHSM 2.4 uit, waarop gisteren het beveiligingsbulletin van Yubico verscheen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 4.9.

YubiKeys kwetsbaar voor aanval waardoor private keys zijn te stelen (2)

AIVD-toezichthouder krijgt op 1 juli 2026 definitief nieuwe locatie

Witte Huis komt met plannen om BGP-kwetsbaarheden aan te pakken

Reacties (16)

Reageer met quote

04-09-2024, 15:35 door Anoniem

Dat is dan wel weer het nadeel van de read-only firmware, dat gebruikers niet de nieuwe firmware kunnen flashen.
Ben benieuwd of Yubico de keys gratis laat vervangen.

Reageer met quote

04-09-2024, 15:54 door Anoniem

Door Anoniem: Dat is dan wel weer het nadeel van de read-only firmware, dat gebruikers niet de nieuwe firmware kunnen flashen.
Ben benieuwd of Yubico de keys gratis laat vervangen.

Dat is in dit geval inderdaad een nadeel, maar het grote voordeel van een RO firmware is dat het niet overschreven/ aangepast kan worden :-)

Reageer met quote

04-09-2024, 16:01 door Anoniem

Door Anoniem: Dat is dan wel weer het nadeel van de read-only firmware, dat gebruikers niet de nieuwe firmware kunnen flashen.
Ben benieuwd of Yubico de keys gratis laat vervangen.

Dat laatste verwacht ik niet, bij de meeste keys is de prijs daar niet naar. Uitgezonderd misschien de HSM's, die zijn dusdanig duur dat ik vervanging terecht zou vinden.

Dat maakt uiteraard een voordeel voor yubico: Je moet nieuwe keys kopen, en alternatieven met dezelfde functionaliteit zijn er amper, dus grote kans dat je weer bij yubico aanklopt.

Reageer met quote

04-09-2024, 16:23 door Anoniem

En ze moeten wel fysieke toegang tot jouw Yubikey hebben, dus als je ook maar een beetje alert bent, lukt dat niet zo maar...

Reageer met quote

04-09-2024, 16:24 door Anoniem

Door Anoniem:

Door Anoniem: Dat is dan wel weer het nadeel van de read-only firmware, dat gebruikers niet de nieuwe firmware kunnen flashen.
Ben benieuwd of Yubico de keys gratis laat vervangen.

Dat laatste verwacht ik niet, bij de meeste keys is de prijs daar niet naar. Uitgezonderd misschien de HSM's, die zijn dusdanig duur dat ik vervanging terecht zou vinden.

Dat maakt uiteraard een voordeel voor yubico: Je moet nieuwe keys kopen, en alternatieven met dezelfde functionaliteit zijn er amper, dus grote kans dat je weer bij yubico aanklopt.

Yep.

Nu zijn yubikeys natuurlijk het troetelkind van security/open source nerds, dus zijn "we" coulant en begripvol voor een apparaat(je) dat blijkbaar End Of Support is vanaf het moment van aankoop "want secure".

Maar owee als een telefoonfabrikant na jaren geen updates meer wil maken en je maar het nieuwe model moet kopen.

Reageer met quote

04-09-2024, 16:38 door Anoniem

Door Anoniem:

Door Anoniem: Ben benieuwd of Yubico de keys gratis laat vervangen.

Dat laatste verwacht ik niet, bij de meeste keys is de prijs daar niet naar.

Op hun website zie ik dat ze een jaar garantie geven op "material and workmanship" en het ding verder "as is" leveren.

https://www.yubico.com/support/terms-conditions/yubico-license-agreement/ (punt 5)

Dat lijkt geen garantie op de firmware te zijn, ook al kan je die niet upgraden. Ik vraag me af of die beperking in de EU wel mag.

Reageer met quote

04-09-2024, 16:43 door _R0N_

Door Anoniem: En ze moeten wel fysieke toegang tot jouw Yubikey hebben, dus als je ook maar een beetje alert bent, lukt dat niet zo maar...

Maar als ze dat wel krijgen weten ze waarschijnlijk ook waar je hem voor gebruikt.

Reageer met quote

04-09-2024, 17:41 door Anoniem

Vandaag kom ik er (tot mijn grote schrik) achter dat ik nooit een firmware update voor de printer heb uitgevoerd.
Maar dat is nu gelukkig verholpen.

Soms denk je er gewoon niet bij na (ja sorry jongens beveiliging), dat is helaas ook realiteit. Maar dat oude Yubi keys niet zijn te updaten, dat is een enorme schok (naar mijn bescheiden idee). Dit had ik nooit gedacht van een beveiligingssleutel.

Reageer met quote

04-09-2024, 17:48 door Erik van Straten

Het zijn sowieso krengen van dingen, die niet helpen als jouw hardware (computer, smartphone, tablet, ...) of software (OS, browser, plug-ins) is gecompromitteerd.

Nadat mijn eerste Yubikey véle jaren geleden hackbaar bleek (en ik nog wel een gratis vervanging van Yubico had kunnen krijgen) heb ik het opgegeven en dat ding als relikwie bewaard. Wat een uitzichtloze ondingen, en nu opnieuw lek.

Reageer met quote

04-09-2024, 18:17 door Anoniem

beter gewoon Windows Hello gebruiken PAsskey

Reageer met quote

04-09-2024, 18:37 door waterlelie

Tweakers is wat completer in haar artikel:
De ernst van het probleem is 'matig', met een CVSS-score van 4.9, zegt het bedrijf. In de praktijk is er wel veel nodig om de aanval uit te voeren. In de eerste plaats heeft een aanvaller langdurig fysieke toegang tot een YubiKey nodig. Die moeten ze vervolgens open weten te maken, zodat ze bij de microcontroller kunnen komen. Verder hebben aanvallers een elektromagneet en een oscilloscoop nodig, naast een computer die het elektromagnetische signaal van een chip kan aflezen. Volgens de onderzoekers is een aanval mogelijk met bepaalde hardware, maar dat is duur. Daarnaast kan een praktische aanval alleen plaatsvinden als een aanvaller niet alleen de YubiKey, maar ook de andere credentials van een slachtoffer bezit, zoals de gebruikersnaam en het wachtwoord.

Reageer met quote

04-09-2024, 20:50 door Anoniem

In welke versies is het verholpen?

Reageer met quote

04-09-2024, 21:57 door Anoniem

Door Anoniem: In welke versies is het verholpen?

Hangt af van welke Yubikey je hebt:

Not Affected Products

YubiKey 5 Series version 5.7.0 and newer
YubiKey 5 FIPS Series 5.7 and newer (FIPS submission in process)
YubiKey Bio Series versions 5.7.2 and newer
Security Key Series versions 5.7.0 and newer
YubiHSM 2 versions 2.4.0 and newer
YubiHSM 2 FIPS versions 2.4.0 and newer


Affected

YubiKey 5 Series versions prior to 5.7
YubiKey 5 FIPS Series prior to 5.7
YubiKey 5 CSPN Series prior to 5.7
YubiKey Bio Series versions prior to 5.7.2
Security Key Series all versions prior to 5.7
YubiHSM 2 versions prior to 2.4.0
YubiHSM 2 FIPS versions prior to 2.4.0

Via: https://www.yubico.com/support/security-advisories/ysa-2024-03/

Reageer met quote

05-09-2024, 14:29 door waterlelie

Het komt er dus op neer, dat het stelen van de private key in realiteit feitelijk onmogelijk is, tenzij de degenen die dat willen op het technische niveau van een geheime dienst opereert.

Reageer met quote

05-09-2024, 14:59 door Anoniem

Je moet de YubiKey dus fysiek in handen hebben en met specialistische tools kunnen observeren wanneer deze een succesvolle authenticatie doet. Lijkt me inderdaad een megarisico waar ik wakker van moet liggen. NOT.

Reageer met quote

Gisteren, 09:33 door Anoniem

Via de regels van de EU consumentenrecht, mag je de key vervangen of restitutie aanvragen als je binnen 2 jaar van aankoop zit. Dit aangezien Yubi adverteert met een soort "unhackable". Nu voldoen ze niet aan die specificatie en kan je binnen de EU vervanging aanvragen.
Bij Amazon heb ik mijn geld terug gekregen bij het terugsturen zonder originele verpakking.

Reageren

Ondersteunde bbcodes

Bold: [b]bold text[/b]

Italic: [i]italic text[/i]

Underline: [u]underlined text[/u]

Quote: [quote]quoted text[/quote]

URL: [url]https://www.security.nl[/url]

Config: [config]config text[/config]

Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

YubiKeys kwetsbaar voor aanval waardoor private keys zijn te stelen (2024)

FAQs

How do I extract my private key from YubiKey? ›

The owner is responsible for keeping the private key secret. Owners can secure private keys with the YubiKey by importing them or, better yet, generating the private key directly on the YubiKey. Private keys cannot be exported or extracted from the YubiKey.

Does YubiKey store private keys? ›

During registration, Yubikey creates a new privatekey but doesn't store it locally, it instead encrypts the privatekey* and uploads with registration success message in the ~64 Byte* keyhandle. The public key is included as well without encryption. During authentication, the server will return the keyhandle.

What happens if you lose your YubiKey key? ›

If you lose your Yubikey, you can still use your phone authenticator app, but you cannot create a backup Yubikey. However, Yubikey also provides methods to recover your account, so you can get a replacement. An advantage to Yubikey is that it comes on a USB that cannot be identified.

How do I get my YubiKey secret key? ›

Sign in to your account and find the two-factor (or two-step) authentication settings in the security settings. Select the option to use an authenticator program or Google authenticator and the server will generate a secret key and a QR code.

How do I extract a private key? ›

Information
  1. Download and extract the Win32 OpenSSL package to C:\ ...
  2. Open a command prompt, and move to the OpenSSL-Win32\bin directory, using: cd C:\OpenSSL\bin.
  3. Execute the following command to export Private Key file: openssl pkcs12 -in [yourfile.pfx] -nocerts -out [keyfile-encrypted.key]

How do I access my private key? ›

Where's my private key?
  1. Open the Microsoft Management Console (MMC).
  2. In the Console Root, expand Certificates (Local Computer). Your certificate will be located in the Personal or Web Server folder.
  3. Locate and right click the certificate, click Export and follow the guided wizard.

Is it safe to keep YubiKey plugged in? ›

Security Hints

If you trust your environment (like at home) you can keep the YubiKey near or even plugged into your computer. In low trust environments (coffee shops, hotel rooms, etc.) keep your YubiKey with you at all times (in a pocket or purse), especially if step away from your computer, even briefly.

What if someone finds my YubiKey? ›

The YubiKey Advantage

Hardware keys are so great because they come on unidentifiable USB sticks. What that means is, should anyone find a lost YubiKey that doesn't belong to them, they can't figure out what device it corresponds to.

Can someone else use my YubiKey? ›

So if one is lost or broken then I still have another to log into sites. As for theft, if you're using your yubikey as a 2nd factor then they still can't log in because they don't know your password. If you're using your yubikey as both factors then it either has a PIN or biometrics, so the thief can't log in.

How long will a YubiKey last? ›

A Yubikey will essentially last forever, and if you stay clear of the insanity that is Passkeys its Webauthn element can support an infinite number of websites.

What are the risks of YubiKey? ›

The theft scenario is indeed disturbing because if the thief learns your PIN and then steals the Yubikey, you're facing severe problems: the thief can easily check all your passkeys, get access to your accounts, remove all the passkeys and register only the stolen Yubikey, change the password, remove any other 2FA ...

Can YubiKey be trusted? ›

Proven security at scale

YubiKeys are trusted by the world's largest companies and users have experienced 0 account takeovers.

Can I use YubiKey for all my passwords? ›

The YubiKey works with Password Safe to protect your passwords using two-factor authentication (2FA). Both a master password and a YubiKey are needed to enable access to your Password Safe file, which contains the usernames, websites, passwords and other information for all of your online accounts.

Can you use YubiKey on a phone? ›

However, as the YubiKey does need to be plugged into a mobile device to function, it adds more friction to the user flow - but this can be a positive when using a feature which requires a longer session, such as a PIV smart card. Pros: Supported on all mobile platforms. Ideal for longer authentication sessions.

Can a YubiKey be cloned? ›

Security researchers have discovered a cryptographic flaw that leaves the YubiKey 5 vulnerable to attack.

How to extract private key from ASC file? ›

  1. Export a Secret Key (this is what your boss should have done for you) gpg --export-secret-keys yourKeyName > privateKey.asc.
  2. Import Secret Key (import your privateKey) gpg --import privateKey.asc.
  3. Not done yet, you still need to ultimately trust a key. You will need to make sure that you also ultimately trust a key.
Apr 7, 2011

How do I extract a private PGP key? ›

Highlight the PGP key you want to export, then select the File menu and click Export > Key. Alternatively, right-click on the key to export and click "Export" in the drop-down menu. When the Export Key to File window appears, select a location to export the key, then click Save.

How do I copy a private key? ›

Answer
  1. Copy your private key (typically ~/. ...
  2. Copy your public key (typically ~/. ...
  3. Carry the USB stick to your new workstation.
  4. Make the ~/. ...
  5. Change the permissions of the ~/. ...
  6. Copy your private key from the USB stick to your ~/. ...
  7. Change the permissions of the private key to be either 600 or 400.

Where is private key stored? ›

Public key vs Private key

Public key is embedded in the SSL certificate and Private key is stored on the server and kept secret. When a site visitor fills out a form with personal information and submits it to the server, the information gets encrypted with the public key to protect if from eavesdropping.

Top Articles
Latest Posts
Recommended Articles
Article information

Author: Rob Wisoky

Last Updated:

Views: 5441

Rating: 4.8 / 5 (68 voted)

Reviews: 91% of readers found this page helpful

Author information

Name: Rob Wisoky

Birthday: 1994-09-30

Address: 5789 Michel Vista, West Domenic, OR 80464-9452

Phone: +97313824072371

Job: Education Orchestrator

Hobby: Lockpicking, Crocheting, Baton twirling, Video gaming, Jogging, Whittling, Model building

Introduction: My name is Rob Wisoky, I am a smiling, helpful, encouraging, zealous, energetic, faithful, fantastic person who loves writing and wants to share my knowledge and understanding with you.