Onderzoekers weten cryptografische sleutel van YubiKeys te achterhalen

Fysieke YubiKey-sleutels zijn kwetsbaar voor een sidechannelaanval waarbij de sleutels kunnen worden gekloond. Die kwetsbaarheid is niet te repareren in bestaande sleutels, maar praktische uitbuiting is moeilijk en vereist fysieke toegang tot de sleutel.

Onderzoekers van beveiligingsbedrijf NinjaLab hebben een onderzoek gepubliceerd waarin ze tonen hoe ze een sidechannelaanval kunnen uitvoeren op de cryptografische library Infineon. Die wordt gebruikt in de YubiKey 5 Series, de meestverkochte fysieke beveiligingssleutels van Yubico. Dat bedrijf heeft inmiddels een advisory online gezet waarin het daarvoor waarschuwt.

De kwetsbaarheid zit in de Infineon SLE78-microcontroller. De onderzoekers van NinjaLab vonden in een Feitian A22-JavaCard details over hoe die microcontroller werkt, specifiek de cryptografische library die de chip gebruikt. Daardoor konden de onderzoekers achterhalen hoe het Elliptic Curve Digital Signature-algoritme, of Ecdsa, precies werkt. Het Ecdsa-algoritme wordt gebruikt om de private key aan te maken bij een bepaalde credential. Via de aanval is het mogelijk om die private keys te achterhalen, zeggen de aanvallers.

De kwetsbaarheid zit dan ook niet alleen in YubiKeys, maar in alle smartcards en apparaten waarin de specifieke Infineon-microcontroller zit. Wel zijn YubiKeys daar de bekendste implementatie van. Bovendien tonen de onderzoekers in hun whitepaper specifiek aan hoe ze de bug op een YubiKey 5Ci kunnen uitbuiten. De microcontroller wordt onder andere ook gebruikt in cryptovalutahardwarewallets.

Yubico raadt gebruikers aan hun sleutel te identificeren met de Yubico Authenticator om te zien welke firmware hun sleutel heeft. YubiKey 5's met firmware ouder dan 5.7.0 en YubiHSM 2-sleutels met firmware van voor 2.4.0 zijn kwetsbaar. Yubico heeft in firmwareversie 5.7, die in mei dit jaar uitkwam, de cryptografische library van Infineon vervangen door een eigen library. Dat deed het bedrijf onder andere om deze bug te repareren, maar ook het maximaal aantal totp-tokens ging omhoog. Dat betekent in de praktijk dat YubiKeys van voor die tijd kwetsbaar zijn. Gebruikers kunnen de cryptografie van hun YubiKeys niet aanpassen.

Yubico YubiKey 5Ci

De ernst van het probleem is 'matig', met een CVSS-score van 4.9, zegt het bedrijf. In de praktijk is er wel veel nodig om de aanval uit te voeren. In de eerste plaats heeft een aanvaller langdurig fysieke toegang tot een YubiKey nodig. Die moet hij vervolgens open weten te maken, zodat hij bij de microcontroller kan komen. Verder hebben aanvallers een elektromagneet en een oscilloscoop nodig, naast een computer die het elektromagnetische signaal van een chip kan aflezen. Volgens de onderzoekers is een aanval mogelijk met bepaalde hardware, maar dat is duur. Daarnaast kan een praktische aanval alleen plaatsvinden als een aanvaller niet alleen de YubiKey, maar ook de andere credentials van een slachtoffer bezit, zoals de gebruikersnaam en het wachtwoord.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 04-09-2024 16:30
67 • submitter: EEstar

04-09-2024 • 16:30

67

Submitter: EEstar

Lees meer

Yubico YubiKey 5Ci

vanaf € 90,-

5 van 5 sterren

Alles over dit product

GOG laat gebruikers accounts via authenticatieapps beveiligen
GOG laat gebruikers accounts via authenticatieapps beveiligen Nieuws van 19 mei 2025
Metalband Nanowar Of Steel brengt in Java geschreven nummer uit op GitHub
Metalband Nanowar Of Steel brengt in Java geschreven nummer uit op GitHub .Geek van 5 december 2024
Oracle brengt Java 23 uit met twaalf JDK Enhancement-voorstellen
Oracle brengt Java 23 uit met twaalf JDK Enhancement-voorstellen Nieuws van 19 september 2024
Yubico begint met leveren verbeterde Yubikey Bio met ruimte voor meer passkeys
Yubico begint met leveren verbeterde Yubikey Bio met ruimte voor meer passkeys Nieuws van 13 augustus 2024
YubiKeys met 5.7-firmware kunnen dubbel zoveel totp-tokens opslaan
YubiKeys met 5.7-firmware kunnen dubbel zoveel totp-tokens opslaan Nieuws van 22 mei 2024
Bitwarden laat gebruikers passkeys opslaan in zijn wachtwoordmanager
Bitwarden laat gebruikers passkeys opslaan in zijn wachtwoordmanager Nieuws van 2 november 2023
Bitwarden maakt gebruik van fysieke beveiligingssleutels niet langer betaald
Bitwarden maakt gebruik van fysieke beveiligingssleutels niet langer betaald Nieuws van 28 september 2023
GitHub maakt wachtwoordloos inloggen via passkeys in bèta mogelijk
GitHub maakt wachtwoordloos inloggen via passkeys in bèta mogelijk Nieuws van 13 juli 2023
Bitwarden krijgt deze zomer ondersteuning voor passkeys
Bitwarden krijgt deze zomer ondersteuning voor passkeys Nieuws van 24 mei 2023
Meer producten en artikelen
Overige randapparatuur Beveiliging en antivirus Yubico yubikey

Reacties (67)

-Moderatie-faq
67
67
39
0
0
25
Wijzig sortering

Sorteer op:

Weergave:
gertvdijk 4 september 2024 16:50
Ik lees niets over vervanging aangeboden door Yubico... gaan ze serieus mensen niet voorzien van een nieuwe? Mochten ze jonger dan een jaar zijn (garantie is slechts 1 jaar op die dingen!), zou ik ze gewoon terugsturen voor garantie, maar je hebt er alsnog een hoop werk aan. Pff.
PdC @gertvdijk4 september 2024 17:06
De aanval is dusdanig complex dat de "gewone gebruiker" niet geraakt wordt. De key moet fysiek worden geopend, met een EM probe worden uitgelezen terwijl je FIDO2 authenticaties uitvoert, weer worden gesloten zonder dat de gebruiker dat kan zien, etc. Succes...
Ook de authenticator en static password functie zijn niet geraakt. Alleen de functies die met ECDSA keys werken, zoals dus FIDO2.
gertvdijk @PdC4 september 2024 17:09
Ik snap wat je zegt, maar ook de HSMs (niet voor gewone gebruikers!) zijn geraakt. Bovendien zijn er ook situaties waarbij Yubikeys worden gegeven aan mensen die je niet per se vertrouwt en die ze niet zouden moeten kunnen klonen, maar die dat nu wel kunnen. Denk aan bedrijven die Yubikeys uitgeven en die hem laten inleveren bij uit-dienst. Een ex-werknemer kan nu een kopietje gemaakt hebben van die Yubikey... (en die ongeschonden kloon inleveren, valt niet op).

[Reactie gewijzigd door gertvdijk op 4 september 2024 17:42]

PdC @gertvdijk4 september 2024 17:25
Voor 10.000 euro en een hoop specialistische kennis. Want zoveel kost de apparatuur. En als het goed is is die yubikey slechts een 2de factor. Een kloon is dus van beperkte waarde voor die ex-werknemer.

HSMs zijn idd een heel ander verhaal.

De paper zelf is interessant leesvoer. Die gasten hebben er 2 jaar over gedaan dit te vinden. Ben wel benieuwd wanneer er zaken aan het licht komen rondom paspoorten en bankpassen. Die zijn zo dun dat de em probe wellicht de chip kan lezen zonder fysieke manipulatie?
Llopigat @gertvdijk4 september 2024 18:34
EN het werkt alleen met ECDSA sleutels.

Ik gebruik zelf voornamelijk RSA sleutels op mijn yubikey dus daar ga je al.
Jerie @gertvdijk4 september 2024 19:02
Niet alleen YubiKeys:
De kwetsbaarheid zit dan ook niet alleen in YubiKeys, maar in alle smartcards en apparaten waarin de specifieke Infineon-microcontroller zit.
Interbert @gertvdijk4 september 2024 23:03
Ik gebruik het prive, en in dit geval moet ik mijn auto sleutels geven icm. de YubiKey en/of me kluis bij mij en/of 3 locatie openbreken om er gebruik van te maken. Lijkt mij te veel werk.
GertMenkel
@PdC4 september 2024 17:33
Mwah, het hele punt van deze dingen is dat je ze niet met een kwartiertje tijd zou moeten kunnen klonen, wat dus wel kan. Dit brengt significante risico's mee voor de doelgroep waar ze heel veel geld aan verdienen, de mensen die een hele veilige sleutel nodig hebben.

De authenticator kan met ECDSA werken, maar als je hem daar niet voor gebruikt, is er inderdaad niks aan de hand (voor zover we nu weten). Ik denk ook dat de hoofdreden is dat ze niet van plan zijn om enige vervanging aan te bieden is dat ze met RSA nog niet onveilig bewezen zijn.

Het feit dat de FIDO-authenticator geraakt is, is toch wel pijnlijk. Helemaal omdat deze keys niet aan updates doen (zodat slechte firmware niet kan worden geuploaded om de sleutels te extraheren, wat nu met een piepklein gastje in de behuizing wel kan).
joost00719 @PdC4 september 2024 22:25
Als je fysieke toegang nodig hebt, kun je de sleutel net zo goed gewoon direct in de pc stoppen om de boel te decrypten.
Klinkt een beetje alsof je een huissleutel kopieert, daarvoor heb je ook de fysieke sleutel nodig.
PdC @joost007195 september 2024 08:51
Nee. De clou van een Yubikey is dat de private key de Yubikey nooit verlaat. Als jij uit het afluisteren van verkeer een private key kan berekenen dan is er iets heel anders aan de hand...
wica @gertvdijk4 september 2024 17:32
Je moet de Yubitkey van zijn behuizing ontdoen. Draaitje op solderen. vele inlog pogingen doen, En vervolgens weer in een behuizing doen.

Dit valt je als gebruiker toch wel op?
Llopigat @wica4 september 2024 18:37
Solderen hoeft niet. Je moet alleen een probe precies op de juiste plek op de chip zetten. Maar je moet de behuizing wel verwijderen ja anders kan je de probe niet dichtbij genoeg krijgen.
vrow @wica4 september 2024 23:37
Je geeft dan een clone terug aan de gebruiker.
Als je zoveel moeite en geld hebt om dit allemaal te kopen en doen, dan kan je ook een goed-gelijkende clone teruggeven aan de gebruiker.
Maar inderdaad.
Zodra je merkt dat je Yubikey weg is, moet je voor de zekerheid je wachtwoord wijzigen bij alle diensten die je ermee beveiligd hebt.
Let er ook altijd op dat je nog een andere 2FA-optie instelt zodat je jezelf niet buitensluit bij verlies of diefstal van je Yubikey (of verlies van je TOTP-secret of wat ook maar).
Bram® @vrow5 september 2024 05:40
Hoe maak je dan zo’n clone die ook fysiek voldoende identiek is als een yubikey? Aan wat voor ordegrootte van effort moet ik dan denken?

Afhankelijk van hoevaak de gecompromitteerde gebruiker zijn key nodig heeft, zou je de gehackte yubikey ook met een volkomen andere yubukey van hetzelfde type kunnen omwisselen. Wellicht geeft dat de aanvaller al voldoende tijd om zijn aanval verder uit te voeren, en tegen de tijd dat de gebruiker het door heeft, is het doel al bereikt
Triblade_8472 @gertvdijk4 september 2024 19:58
Risk/reward.

Daarnaast zit het probleem niet in Yubikey an sich, maar in de Infineon chip.

Het zou raar zijn als door zoiets het bedrijf over de kop zou gaan. Weet je hoeveel van die dingen er in omloop zijn?
Nico Klus @Triblade_84724 september 2024 23:43
Maar ik het toch een Yubikey gekocht en geen Infinion chip?
Dan mag Yubi zelf met Infinion om de tafel.
Als jouw Dell pc stuk gaat hoef en wil je toch niet naar een van de OEMs die een onderdeel geleverrd heeft?
sdziscool @gertvdijk4 september 2024 17:01
het zou in principe met een software update opgelost kunnen worden, niet makkelijk maar wel mogelijk.
edit: laat maar die dingen kun je niet updaten, dat is wel pijnlijk.

[Reactie gewijzigd door sdziscool op 4 september 2024 17:07]

gertvdijk @sdziscool4 september 2024 17:04
Nee. Yubikeys kunnen niet worden geüpdatet, by design.
To prevent attacks on the YubiKey which might compromise its security, the YubiKey does not permit its firmware to be accessed or altered.
Yubico is dedicated to providing a long-term two-factor authentication solution, we want your YubiKey to remain useful for the full extent of its lifetime.
Llopigat @gertvdijk4 september 2024 18:37
Niet meer. De eerste exemplaren tot en met de Neo reeks konden het wel.

Dit is overigens de tweede keer dat een serieuze fout is gevonden in de firmware. De eerste zat in de OpenPGP firmware die de pincode niet valideerde (dus je kon de stick gebruiken zonder pincode, je moest alleen de software op de computer aanpassen 8)7 )

[Reactie gewijzigd door Llopigat op 4 september 2024 18:38]

gertvdijk @Llopigat4 september 2024 18:43
Niet meer. De eerste exemplaren tot en met de Neo reeks konden het wel.
Ik lees graag je bron voor een firmware update voor de Yubikey Neo die is te updaten door eigenaren. Die was namelijk ook al trash door de vuln in de OpenPGP applet en was niet te fiksen voor zover ik weet.

(en dan bedoel ik niet de Developer edition waarvoor card keys beschikbaar zijn gemaakt.)

[Reactie gewijzigd door gertvdijk op 4 september 2024 18:44]

Llopigat @gertvdijk4 september 2024 18:47
Voor die OpenPGP kon je hem gewoon omruilen. En Yubico heeft me ondanks dat geadviseerd om de oude gewoon te updaten om het probleem te fixen (ondanks dat ze me dus al een nieuwe gestuurd hadden :) ). Dat was wel nice van ze.

De eerste generaties van de Neo waren namelijk updatebaar net zoals de developer edition.

Hier zijn de instructies:
https://developers.yubico...enpgp/InstallCAPFile.html

Die link is me destijds zelf door yubico support gestuurd.

[Reactie gewijzigd door Llopigat op 4 september 2024 18:47]

RobertMe
@sdziscool4 september 2024 17:03
Alleen ondersteunen YubiKeys geen software update. Omdat dat ook weer risico's met zich meebrengt (malafide firmware etc).
Jerie @gertvdijk4 september 2024 19:03
Nee hoor de garantie is 2 jaar binnen de EU. Ze leveren zelfs vanuit Zweden. Of de winkel moet dat ook leveren.
Christoxz @Jerie5 september 2024 08:33
In Nederland is er geen vaste garantie termijn van twee jaar, maar heb je recht op een deugdelijk product.
Dus voor een duur(der) product en/of met een langere levensverwachting van 2 jaar, heb je dus meer dan 2 jaar garantie.

Of je dit zou kunnen gooien op een ondeugdelijk product, ik denk het niet, hoewel de 'kwaliteit' niet naar verwachting is. Maar een fysieke sleutel kan je ook kopiëren, en is een deugdelijk product.
RobbieB 4 september 2024 16:36
Maar als je al fysieke toegang hebt, dan heb je toch al toegang tot de keus?
GertMenkel
@RobbieB4 september 2024 17:38
Het punt van deze Keys is dat dat dus niet het geval is. Je moet ze wel kunnen gebruiken (als een sleutel die je steelt) maar je mag ze niet kunnen kopiëren zonder extreem moeilijke technieken (denk aan "individuele versleutelde bits uit een chip uitlezen met een microscoop" moeilijk) en je zou al helemaal niet de key in een bruikbare staat moeten kunnen teruggeven als je zoiets doet.

Niks is perfect veilig, maar nu kan iemand op de luchthaven van een vervelend land (China, Rusland, de VS) je sleutel kopiëren zonder dat je dat doorhebt, en gebruiken zonder dat je iets merkt. Een dief, spion, of wie dan ook kan dat ook, mits ze voorbereid zijn met de juiste tool, die ongetwijfeld zonder al te veel geld na te maken is.

Vergelijk het met de TPM in de CPU van je moederbord: Windows slaat daar (standaard) zonder enig wachtwoord de sleutel van je schijf in op, en praktisch niemand kan die sleutel uit de CPU zelf halen, zelfs niet als ze fysieke toegang hebben. Uiteindelijk kun je met Windows-exploits die sleutel nog wel lospeuteren (mits je een exploit hebt die werkt op het loginscherm van Windows), maar uit de chip komt het in elk geval niet.
Llopigat @GertMenkel4 september 2024 18:41
Niks is perfect veilig, maar nu kan iemand op de luchthaven van een vervelend land (China, Rusland, de VS) je sleutel kopiëren zonder dat je dat doorhebt, en gebruiken zonder dat je iets merkt. Een dief, spion, of wie dan ook kan dat ook, mits ze voorbereid zijn met de juiste tool, die ongetwijfeld zonder al te veel geld na te maken is.
Hmm ja en nee. Zelfs dan duurt het een tijdje (zeg een uur ofzo) omdat ze een hele reeks aan authenticaties moeten doen, en ze hebben de pincode van de stick nodig om dit te kunnen doen. En daarna moeten ze ongemerkt een behuizing terugplaatsen

Dus het is geen kwestie van 1 minuut in een apparaat steken en klaar. Als je die sleutel bij je houdt kan dit eigenlijk niet gebeuren.

[Reactie gewijzigd door Llopigat op 4 september 2024 18:41]

GertMenkel
@Llopigat4 september 2024 22:00
Het paper zelf geeft aan dat het een paar minuten duurt om de nodige opnames te maken met een sensor (die je mee kunt nemen) en vervolgens een uur tot een dag werk om de samples te analyseren. Dat laatste is waarschijnlijk alleen omdat ze er geen moeite in hebben gestoken om dat gedeelte ook te automatiseren. Wel is dat een paar minuten + 1 uur/dag per secret, maar zoveel secrets passen er niet op een Yubikey.

Eén minuut kost het wellicht niet, maar je hoeft geen uren toegang te hebben tot je apparaat.
Llopigat @GertMenkel4 september 2024 23:32
Ah okee, zo diep had ik het niet gelezen, ik had wel van een andere vulnerability gelezen waar het om 10 uur ging.

Maar alsnog is het lastig om zo'n ding open te maken en weer netjes in elkaar te zetten zonder dat je het ziet. Dat doe je ook niet in een minuut. Je kan de case oplossen met oplosmiddel: http://www.hexview.com/~scl/neo5/

Maar dan moet je er alsnog een nieuwe op zetten en die zo bekrassen dat hij er net zo uit ziet als de oude (die van mij zijn behoorlijk toegetakeld aan mijn sleutelbossen :) )
GertMenkel
@Llopigat5 september 2024 08:29
Tja, het is geen aanval voor verveelde scholieren, maar voor mensen die vervelende landen bezoeken is dit toch wel heel vervelend. Zoals de onderzoekers zelf aangeven: als het op 2FA aankomt, blijft iedere kwetsbare stick vele malen beter dan iedere andere vorm van 2FA (of helemaal geen 2FA). Het risico ligt er echt in de hoek van (bedrijfs)spionage.
wmkuipers @RobbieB4 september 2024 16:37
Dan moet je alsnog de pincode of biometrische requirements passeren.
The Zep Man
@wmkuipers4 september 2024 16:38
Niet voor veel diensten die FIDO2 zonder pin implementeren. Wel moet je weten waar je kan inloggen als wie, en mogelijk nog een andere factor weten bij het inloggen.

[Reactie gewijzigd door The Zep Man op 4 september 2024 16:39]

MiesvanderLippe @The Zep Man4 september 2024 17:01
En van die diensten moet de verliezer van de Yubikey dus vlotjes de sleutel intrekken met diens backup sleutel.
gimbal @RobbieB4 september 2024 16:40
Het probleem hier is, voor zover ik de tekst begrijp, dat een kopie gemaakt kan worden. Als men de key puur zou stelen dan weet je dat er wat loos is en ga je de sleutel ongeldig verklaren. De kopie is geruisloos.
Llopigat @gimbal4 september 2024 18:39
Ja maar wel met de enorme kanttekening dat je er een nieuwe behuizing op moet zetten die er net zo uit ziet als de oude (de oude kan je namelijk niet verwijderen zonder hem kapot te maken, die is helemaal gegoten).
PolarBear @gimbal5 september 2024 09:12
Let wel, het maken van de kopie gaat key voor key. Dus als je 10 FIDO keys hebt moet 10 x de aanval van een aantal uur worden uitgevoerd (+ daarna nog 10x meerdere uren voor het offline deel van de aanval).
The Zep Man
4 september 2024 16:37
Een dure grap als je eerder dit jaar heftig geïnvesteerd hebt in YubiKeys.

Garantiegeval (als je een consument bent)?
evers97 @The Zep Man4 september 2024 16:46
Nee, als je een yubikey hebt, neem je veiligheid vaak wat serieuzer. Dan ben je niet zo onhandig om maar één verificatiemethode te hebben voor toegang, maar ook nog een additionele pincode, wachtwoord of biometrische verificatie.
AibohphobiA BoB @evers974 september 2024 17:05
Of je hebt dat ding gekregen bij je Tweakers abonnement.
Overigens heb je daar niets aan omdat op de eerste pagina van Yubikey staat dat je voor de veiligheid er minimaal twee moet hebben.
Kortom, hier ligt er een stof te vangen.
Llopigat @AibohphobiA BoB4 september 2024 18:42
Of je hebt dat ding gekregen bij je Tweakers abonnement.
Tweakers heeft destijds de Yubikey Neo uitgeleverd (heb er zelf ook een), die heeft een NXP chip, geen Infineon. Dus die is daar niet vatbaar voor.

Sommigen Neo's zijn echter wel vatbaar voor een ander probleem, namelijk een OpenPGP applet probleem waarbij de pincode niet gevalideerd wordt. Yubi heeft inderdaad yubikeys omgeruild hiervoor (waaronder de mijne), met name omdat ik OpenPGP dagelijks gebruik.

Dan ben je echter wel het opgedrukte Tweakers logo kwijt.
Overigens heb je daar niets aan omdat op de eerste pagina van Yubikey staat dat je voor de veiligheid er minimaal twee moet hebben.
Je kan je backup toegang ook regelen met een eenmalige lijst van toegangscodes. En sowieso hoef je er dan nog maar 1 bij te kopen :)

[Reactie gewijzigd door Llopigat op 4 september 2024 18:45]

AibohphobiA BoB @Llopigat4 september 2024 18:55
Nee hoor, dit jaar kreeg ik de 'Security Key C NFC'.
Geen logo.
Llopigat @AibohphobiA BoB4 september 2024 18:59
Oh ik dacht dat het alleen een tijdelijke actie was destijds. Ik heb hier nog een Neo met logo. Dat is een wit opgedrukt logo, zie hier: https://tweakers.net/foto...aJ42cyyVE8aTuA8aJcVFE.png

Destijds was het een tijdelijke actie voor iedereen, niet alleen Elite abo's (volgens mij bestond er toen ook maar 1 type abo trouwens). Ik wist niet dat ze nu weer aan Elite abo's gegeven worden.

[Reactie gewijzigd door Llopigat op 4 september 2024 19:04]

AibohphobiA BoB @Llopigat4 september 2024 19:03
Als Elite 'krijg' je 2x per jaar een sigaar uit eigen doos. Heel soms is het iets leuks, maar meestal een waardeloze prul zoals deze.
Zelfs op Marktplaats raak je hem niet kwijt.
Llopigat @AibohphobiA BoB4 september 2024 19:08
Waardeloos? Ik ben er enorm blij mee met de mijne <3 Ik gebruik ze voor alles. Ik heb ze wel eens gekocht voor 35 euro tweedehands. Ik gebruik die van tweakers niet meer, ik heb nu diverse yubikey 5's.

Ik heb er inderdaad wel twee. Drie zelfs eigenlijk. Daar niet van. Maar afhankelijk van hoe je ze gebruikt kan je ook een goedkoper type als tweede nemen zoals deze: https://www.yubico.com/us...-key-nfc-by-yubico-black/ Die is voldoende als je alleen FIDO2 gebruikt.

Als je ook de OpenPGP applet gebruikt kan je daar sowieso een software backup key mee maken en dan die heel veilig op een encrypted USB stick bewaren voor als je de primaire kwijtraakt.

[Reactie gewijzigd door Llopigat op 4 september 2024 19:09]

AibohphobiA BoB @Llopigat4 september 2024 19:20
Ik ben blij voor je, de mijne mag je kopen voor 30,-, doe ik er ook nog een postzegel op (dat is tegenwoordig de helft van de waarde).

Voor mij is het een waardeloze prul omdat je feitelijk iets weggeeft (dat ik zelf betaal) waar je dan ook nog een tweede van moet kopen. Het is geen cadeau, het is iemand opzadelen met een probleem.
Llopigat @AibohphobiA BoB4 september 2024 19:29
Oh bedankt! Dat zou ik wel doen maar ik woon niet in Nederland :'(

Maar je hebt niet echt per se een tweede nodig hoor! Op het werk gebruiken we ook gewoon 1 per persoon. Het gaat er alleen om dat je nog een andere manier hebt om je account te resetten als je hem kwijtraakt.

[Reactie gewijzigd door Llopigat op 4 september 2024 19:29]

Jerie @AibohphobiA BoB4 september 2024 20:01
Of je hebt dat ding gekregen bij je Tweakers abonnement.
Je zegt het al: gekregen.

Bij een gift is er geen sprake van garantie.

Je zou ook kunnen beargumenteren dat het geen gift is maar een aankoop. Immers is het onderdeel van de deal.
AibohphobiA BoB @Jerie4 september 2024 20:27
Het is een sigaar uit eigen doos.
dehardstyler @evers974 september 2024 18:20
Ik denk dat je security vrij serieus neemt als je bijvoorbeeld een Yubikey gebruikt, in plaats van een telefoon met een app voor 2FA. Kan je een voorbeeld geven waar jij een Yubikey gebruikt als 2FA, plus nog een pincode, wachtwoord of biometrie, naast je normale wachtwoord waar je al 2FA voor hebt?

edit: verduidelijkt.

[Reactie gewijzigd door dehardstyler op 4 september 2024 18:21]

Jerie @dehardstyler4 september 2024 20:03
Google. Microsoft. Enz enz.

Ik gebruik het zelf graag icm. OpenSSH. Dan is de eerste factor de private key.

Het handige van een YubiKey is dat FIDO2 goed werkt tegen scammers. Dat is hiermee niet verdwenen. Want de scammers hebben geen fysieke toegang tot je YubiKey.
ByteArray @The Zep Man4 september 2024 20:24
Nee hoor, je hoeft ze niet te vervangen. Deze aanval is alleen interessant tegen hele belangrijke mensen; want heel complex en duur om uit te voeren. Snap de hysterie onder dit nieuwsbericht daarom ook niet, ondanks dat ik beveiliging ook heel belangrijk vind. Een gewone analoge sleutel klonen is nog steeds talloze malen makkelijker dan een YubiKey, zelfs als die gewone analoge sleutel allerlei beveiligingen bevat zoals magneetjes e.d. Verder gebruiken mensen het ook als 2FA meestal, dus een minieme verzwakking maakt dan nog minder uit.

Natuurlijk verkopen ze ook HSM's, daar kan het wellicht relevanter voor zijn als je als organisatie met hele gevoelige data werkt.
The Zep Man
@ByteArray4 september 2024 20:40
Nee hoor, je hoeft ze niet te vervangen. Deze aanval is alleen interessant tegen hele belangrijke mensen; want heel complex en duur om uit te voeren.
Bij een YubiKey koop je een specifiek beveiligingsniveau, zeker als die FIPS gecertificeerd is. Dat beveiligingsniveau heeft die niet.

[Reactie gewijzigd door The Zep Man op 4 september 2024 22:53]

Loy 4 september 2024 16:40
Daardoor konden de onderzoekers achterhalen hoe het Elliptic Curve Digital Signature-algoritme, of Ecdsa, precies werkt.
Dat is toch een publiek algoritme, details over hoe het werkt zouden de beveiliging niet zwakker moeten kunnen maken?

Of weten ze nu hoe die specifieke implementatie werkt en dus op in welke state er welk stuk geheugen uitgelezen moet worden oid?

[Reactie gewijzigd door Loy op 4 september 2024 16:44]

magic45 @Loy4 september 2024 16:46
De link naar de whitepaper werkt.
wmkuipers 4 september 2024 16:38
Daarnaast kan een praktische aanval alleen plaatsvinden als een aanvaller niet alleen de YubiKey, maar ook de andere credentials van een slachtoffer bezit, zoals de gebruikersnaam en het wachtwoord.
MS Entra met Security Key setup would like to have a word...
Glassertje 4 september 2024 17:12
Ik heb de webshop waar ik ze gekocht heb, toch eens een email gestuurd. Vind dus gewoon dat ze die dingen moeten omruilen, zeker nu gewoon in het bericht staat dat de fabrikant van de bug geweten heeft.
grasmanek94 4 september 2024 17:14
Side channel is ook erg moeilijk om te beveiligen.
Ik zit o.a. op een project waarbij we een RISC-V CPU design analyseren en aanpassen, aanvallen, en opnieuw.. pittige taak!

Aanpassingen zijn (vaak) zowel in software als hardware mogelijk om side channel attacks te proberen te mitigeren, maar als de software (en hardware) niet geüpdatet kan worden dan komt men natuurlijk van een koude kermis thuis.

Voor de meest paranoïde mensen is dit nu zeker een stukje afval?
The Zep Man
@grasmanek944 september 2024 20:42
Voor de meest paranoïde mensen is dit nu zeker een stukje afval?
Je kan ze nog gebruiken voor ontwikkeling en testen. Verder kan je ze nog als backup key gebruiken en normaliter in een sleutelkluis bewaren.
Yzord 4 september 2024 18:23
De microcontroller wordt ook gebruikt voor crypto hardware wallets, maar er wordt verder niet gerept over welke wallets. Dat lijkt me toch een stuk meer interessanter dan dat ik in iemand mailbox kan komen (bijv.).

Iemand enig idee welke wallets deze controller gebruikt?
The Zep Man
@Yzord4 september 2024 20:43
Iemand enig idee welke wallets deze controller gebruikt?
Een stapje terug: heeft deze kwetsbaarheid binnen één specifiek algoritme invloed op hardware wallets?
W00fer 4 september 2024 22:07
Leuk als je een Feitian sleutel hebt. Die zelfs door Google onder eigen merk zijn verkocht. Feitian heeft 0,0 aan updates.
keesdewit 4 september 2024 22:08
Ik heb onlangs de HSM 2 met FIPS 140-2 level 3 gekocht. Waar ik benieuwd naar ben is of deze certificering van kracht blijft. De certificaat uitgever vereist deze certificering bij het uitgeven van certificaten. Weet iemand hoe dat zit?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq