正当业界力推无密码输入方案,使硬件安全金钥大行其道,也让这些产品的安全性更为重要。继Google二周前的召回行动后,USB安全金钥装置Yubico也在周四发出公告,旗下一个系列产品系统有Bug可能降低安全性,将召回市面产品并为用户免费换新。
Yubico指出,这个漏洞出在YubiKey FIPS系列上的系统包括4.4.2及4.4.4(没有4.4.3)版,造成硬件每次启动后,YubiKey FIPS app使用的第一组随机值的随机性降低,以致降低金钥的安全强度。
该公司解释,问题在当FIPS产品开机进行自我测试时,持有随机值的缓冲区包含了一些可预测值,进而影响到加密作业,包括RSA金钥、ECDSA签章、椭圆曲线密码(ECC)金钥及ECC加密等。受影响的使用情境包括FIDO U2F(即硬件金钥),而智能卡、OpenPGP及OATH一次性密码的安全性也可能被削弱。
受该漏洞影响的产品包括YubiKey FIPS、YubiKey Nano FIPS、YubiKey C FIPS及YubiKey C Nano FIPS。其他产品则不受影响。
Yubico也提供召回及免费换新服务。在电商网站或和Yubico直接购买到瑕疵产品的用户,可上网站登记并申请换货。而透过经销商购得的用户,则需和厂商联络。
五月中Google也才因为蓝牙版Titan爆出,可让黑客冒名登入用户Google帐号或连上受害者装置的漏洞,而宣布免费为使用者换新。而出现相同漏洞的国内厂商Feitian(飞天诚信),也宣布了旧换新行动。
资料来源:iThome Security