Yubico roept YubiKey FIPS-producten terug wegens zwakte bij genereren sleutels

Yubico heeft enkele van zijn hardwarematige YubiKey-producten in de FIPS-serie teruggeroepen. Telkens na het starten van de YubiKey FIPS-apparaten is er verminderde willekeurigheid, waardoor de eerste cryptografische bewerkingen een zwakkere beveiliging opleveren.

De zwakte in de willekeurigheid maakt dat bij het genereren van rsa-sleutels 80 van een minimum van 2048 bits te voorspellen zijn. Yubico verwacht dat aanvallers hierdoor niet direct private sleutels in handen kunnen krijgen of versleuteld materiaal kunnen ontcijferen. Bij ecdsa-handtekeningen is de voorspelbaarheid van 80 van 256 bits echter voldoende om toegang te krijgen tot handtekeningen en zo private sleutels te verkrijgen. Bij ecc-encryptie gaat het om 16 bits die te voorspellen zijn.

Het probleem treft de YubiKey FIPS, Nano FIPS, C FIPS en C Nano FIPS-producten met firmwareversies 4.4.2 of 4.4.4, waarbij Yubico benadrukt dat er geen 4.4.3-firmware is. De verminderde beveiliging kan invloed hebben bij gebruik in combinatie met smartcard, FIDO U2F, oath-one-timepasswords en OpenPGP. De verminderde willekeurigheid is alleen na het starten van de producten aanwezig. Nadat de te voorspellen inhoud uit de buffer is opgebruikt, zorgt de random number generator wel voor de vereiste willekeurigheid.

Yubico heeft het probleem met nieuwe firmware verholpen, maar producten moeten hiervoor opnieuw de certificatieprocedure doorlopen. Het bedrijf heeft die certificering inmiddels en schat dat de meeste in gebruik zijnde YubiKey FIPS-apparaten al vervangen zijn. FIPS staat voor Federal Information Processing Standards en beveiligingsproducten die aan deze door de Amerikaanse overheid opgestelde standaarden voldoen, moeten geschikt zijn voor overheidsgebruik.

YubiKey FIPS

Reacties (26)

slijkie 14 juni 2019 10:18

Oei, hoe vind ik makkelijk uit welke ik heb?

mhoogendam @slijkie • 14 juni 2019 10:21

De vervanging vind plaats via het order ID: https://www.yubico.com/replaceorder/
En anders: https://www.yubico.com/products/identifying-your-yubikey/

[Reactie gewijzigd door mhoogendam op 23 juli 2024 08:27]

Dorank @mhoogendam • 14 juni 2019 11:04

En op die identificatie pagina komt het woord FIPS niet voor. MAW ik weet het nog altijd niet of mijn Yubikey devices nu getroffen zijn of niet, een aangezien ik ze niet bij yubico heb besteld kunnen ze me dat ook niet vertellen. Ik vind het nogal een knullig verhaal van Yubico. Link gewoon naar de getroffen producten aub.

mhoogendam @Dorank • 14 juni 2019 11:08

I have a YubiKey, how do I know whether it is a YubiKey FIPS or not?

The YubiKey FIPS Series are marked “FIPS” and will have firmware version 4.4.2 or 4.4.4. (there is no firmware version 4.4.3) If the YubiKey is not marked “FIPS” but you suspect it is a FIPS device you can also use YubiKey Manager to confirm the identity of the YubiKey.

reusje @mhoogendam • 14 juni 2019 11:40

Dit wordt er bedoeld met marked "FIPS":

https://www.yubico.com/wp...18/09/yubikey-fips-yh.png

GekkePrutser

Yubico

@slijkie • 14 juni 2019 11:32

De FIPS modellen zijn alleen bedoeld voor bedrijven en instanties die die certificering nodig hebben. Ze zijn ook duurder dan de gewone.

Als je een gewone Yubikey hebt (bijvoorbeeld een Yubikey 4 of 5) dan heb je geen FIPS.

[Reactie gewijzigd door GekkePrutser op 23 juli 2024 08:27]

Kamiklase1 @GekkePrutser • 14 juni 2019 12:23

Hartelijk bedankt. Jouw reactie is duidelijker dan pagina's met tekst op de Yubikey website. Ik snapte er helemaal niets van.

ironx @Kamiklase1 • 14 juni 2019 14:41

Op de Replacement Portal staat het toch wel vrij duidelijk:

Yubico identified an issue affecting YubiKey FIPS devices with firmware versions prior to 4.4.5. Other Yubico products, including the YubiKey 5 Series, Security Key Series, YubiKey 4 Series, and YubiKey NEO are not affected.

Niks mis met mijn 4 series gelukkig...

[Reactie gewijzigd door ironx op 23 juli 2024 08:27]

AntonNus 14 juni 2019 11:12

Dit geeft wel aan dat zo'n FIPS certificering een totale wassen neus is.

Hoe komt zo'n product met zo'n zwakte door deze certificatie, de certificatie zou toch juist bedoeld zijn om de veiligheid te "garanderen".

RogerDad @AntonNus • 14 juni 2019 14:43

FIPS is geen wassen neus, maar je moet goed bekijken welk niveau FIPS de certificatie betreft.
In het verleden zijn bv. hardware crypto usb drives met FIPS 140-2 kwetsbaar gebleken omdat ze onder water een default wachtwoord gebruikten.
De FIPS 140-2 certificering klopte wel, maar er zat dus een architectuur fout in waardoor het product alsnog niet veilig was.

http://ironkey.host4kb.co...Vulnerability-Report.html
How could these devices get FIPS 140-2 Level 2 security certified by NIST with such a critical vulnerability?

FIPS 140-2 is a US Government security standard. It does not guarantee that a product is secure, and it is not a substitute for having deep technical expertise in the design and implementation of a security product. Some vendors think that data security means data encryption. The reality is that encryption is a small part of securing portable storage devices. Deep architectural knowledge is required in the areas of password management, authentication, encryption key management, roles and services, design assurance and physical security.
In this case, the affected vendors created products that effectively used the same password to unlock all devices, and still passed the FIPS 140-2 Level 2 validation. It is vitally important that security vendors apply proper security architecture and review to their designs, and not solely rely on the FIPS review process.

AntonNus @RogerDad • 14 juni 2019 18:54

Sorry het staat er dus juist wel in.

1. If each call to a RNG produces blocks of n bits (where n > 15), the first n-bit block generated
after power-up, initialization, or reset shall not be used, but shall be saved for comparison with
the next n-bit block to be generated. Each subsequent generation of an n-bit block shall be
compared with the previously generated block. The test shall fail if any two compared n-bit
blocks are equal.
2. If each call to a RNG produces fewer than 16 bits, the first n bits generated after power-up,
initialization, or reset (for some n > 15) shall not be used, but shall be saved for comparison with
the next n generated bits. Each subsequent generation of n bits shall be compared with the
previously generated n bits. The test fails if any two compared n-bit sequences are equal.

Maar dan had het in mijn ogen de test niet mogen halen. Je kan dan wel zeggen het wordt dan als level X geclassificeerd. Maar dan is het ook geen vulnerability meer, maar intended functionality en hadden ze het niet hoeven patchen.

AntonNus @RogerDad • 14 juni 2019 18:30

Ja en nee.

FIPS is geen wassen neus, maar je moet goed bekijken welk niveau FIPS de certificatie betreft.
In het verleden zijn bv. hardware crypto usb drives met FIPS 140-2 kwetsbaar gebleken omdat ze onder water een default wachtwoord gebruikten.

FIPS 140-2 is a US Government security standard. It does not guarantee that a product is secure, and it is not a substitute for having deep technical expertise in the design and implementation of a security product.

Het is een security standaard en die kan natuurlijk niet alles af vangen. Dit is echter zo basic en decennia lang bekend dat je na het opstarten genoeg entropie moet hebben voordat je de random nummer generator kan gebruiken. Dat het raar is dat het niet in de standaard vereist wordt.

Men gaat ervan uit dat je een veilig apparaat koopt voor in dit geval vak overheidsdiensten puur alleen al door de FIPS certificatie. De certificatie zegt dus duidelijk niets over de veiligheid van het apparaat zoals ze zelf zeggen en dan is het een wassen neus deze certificatie. Je zou dus eigenlijk zelf alsnog deze dingen moeten aftesten en valideren als klant maar dat is niet realistisch of haalbaar.

LaTiNo156 @AntonNus • 14 juni 2019 12:57

Precies, je bent dus veilig tot de eerstvolgende exploit.
Met als nadeel dat de fabrikant het niet direct en stilletjes kunnen updaten 'ergens in de cloud' maar dat je tijdelijk OF er geen gebruik van kunt maken OF dit onveilig moet doen.

Jerie

@AntonNus • 14 juni 2019 13:05

Dit geeft wel aan dat zo'n FIPS certificering een totale wassen neus is.

vermoeiend dit soort opmerkingen (welke eigenlijk zelf leeg zijn qua inhoud, en een verborgen vraag bevatten). Om tot zo'n conclusie te komen, mag je eerst een uitgebreide analyse er op los laten, en deze ook graag delen. Veiligheid kun je bovendien niet garanderen. Er is altijd sprake van een afweging tussen risico's en kans.

Wat ik erover kwijt wil is dat FIPS 140-2 uit 25 mei 2001 stamt, met een laatste update op 3 dec 2002. Er zijn 4 verschillende levels van FIPS 140-2 certificering, en het vermelden van level is van groot belang voor een indicatie over de veiligheid. FIPS 140-3 is recent goedgekeurd en wordt 22 sep 2019 van kracht.

ajolla @AntonNus • 14 juni 2019 11:54

Zie Boeing en de FAA.

LaTiNo156 14 juni 2019 10:56

Is dit niet meteen de zwakte van zulke hardwarematige oplossingen? Als er een vulnerability in zit moet ie terug naar de fabrikant.

ajolla @LaTiNo156 • 14 juni 2019 11:52

En als 'ie dan wordt teruggestuurd zit er een 'man in the middle'?

GekkePrutser

Yubico

@LaTiNo156 • 14 juni 2019 11:53

De eerste versies van de Yubikey Neo waren ook te updaten.. Maar het updaten hiervan bracht ook weer veiligheidsrisico's met zich mee. Daarom hebben ze dat in de latere versies onmogelijk gemaakt.

Ik heb er nog zo eentje.. Bleek ook erg handig want Yubikey maakte toen een enorme fout in de firmware waarbij hij bij een foutieve pincode toch de crypto berekening uitvoerde

Toen moesten ze dus ook allemaal omgeruild worden. De oude versies waren te updaten (maar ik heb toch een nieuwe gekregen van Yubico, dat was wel netjes).

[Reactie gewijzigd door GekkePrutser op 23 juli 2024 08:27]

SpiceWorm 14 juni 2019 10:25

Dat is toch een bekend probleem dat de random number generator na reboot vaak voorspelbare data produceerd? Raar dat ze hier bij een encryptieproduct niet voor beschermd hebben.
Met een simpele oplossing als een electromagnetische sensor monteren die een breed spectrum sampled (aka data uit de omgeving) als seed voor de random generator waren ze er al geweest.

[Reactie gewijzigd door SpiceWorm op 23 juli 2024 08:27]

Lampiz @SpiceWorm • 14 juni 2019 10:37

Is dat ook niet te kraken? Immers als je het apparaatje zelf hebt en weet op welke omgevingsfactor die sampled, dan kun je die factor controleren (ben een leek hoor maar gewoon benieuwd).Dat dit moeilijker is snap ik, maar hoeveel moeilijker niet

.
Niet dat je dit met een huis-tuin-en-keuken kraak wilt doen, maar ik bedoel meer is het theoretisch mogelijk zelfs met zo'n sensor?

[Reactie gewijzigd door Lampiz op 23 juli 2024 08:27]

Seal64 @Lampiz • 14 juni 2019 10:48

Ik denk dat het vrijwel onmogelijk is om een exact elektromagnetisch spectrum na te bootsen van een locatie, zeker als dat gewoon een thuissituatie of op een bedrijventerrein is. Immers, alles wat ook maar iets met elektriciteit doet, geeft een EM signaal af, van de telefoonmast in de buurt tot de accesspoints van jou en je buren tot de monitor voor je neus, de PC onder je bureau, de UTP kabel die daarin steekt en de elektra-leiding in de muur naast je. En dat is nog eens niet stabiel ook, want op het moment dat je buurman zijn mobieltje opneemt, verandert het al.

SpiceWorm @Lampiz • 14 juni 2019 11:49

Veel is te kraken idd, maar zoals Seal64 aangeeft is het praktisch onmogelijk om een em spectrum exact na te maken - sowieso vanaf een andere locatie en helemaal van een tijdje terug toen de key aangemaakt werd.
Het zou kunnen als dan op het moment van aanmaken van de key weet hoe het gemeten em spectrum er precies uit zag.
Onmogelijk is het misschien niet maar dat gaat richting mission impossible qua voorbereiding benodigd voor zo'n aanval. En daarnaast, een em spectrum kan er al anders uit zien als je 2cm verderop meet, dus je moet de locatie van de stick ook zeer nauwkeurig voorspellen, meetapparatuur plaatsen en het moment van aanmaken van de key ook exact weten. En deze dingen moet je allemaal voor het aanmaken van de key doen om de aangemaakte key te kunnen voorspellen.

[Reactie gewijzigd door SpiceWorm op 23 juli 2024 08:27]

Verwijderd 14 juni 2019 11:20

Ik heb zo een ding van wired gekregen, valt deze er dan ook onder ?

De YubiKey manager zegt: YubiKey 4 met Firmware : 4.3.7.

robertlinke @Verwijderd • 14 juni 2019 11:25

allen de firmwares 4.4.2, of 4.4.4

jouw apparaat zal dan wel goed zijn

Belgar 14 juni 2019 11:11

Overigens werd het probleem vastgesteld door Yubico intern. Ik persoonlijk vind dat wel een belangrijke context. Het bedrijf heeft dus wel zijn verantwoordelijkheid genomen in deze door pro-actief zoveel mogelijk sleutels al te vervangen.

Ik weet dat het natuurlijk ook zo hoort te werken, maar het is goed om dat af en toe ook nog bevestigd te zien in de security wereld

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (26)

Sorteer op:

Weergave: