Знижена унікальність згенерованих значень у ключів серії FIPS
Короткий опис
Кому буде корисна ця стаття? Користувачам, IT-адміністраторам або фахівцям із захисту інформації, які використовують або налаштовують апаратні ключі безпеки YubiKey серії FIPS.
Проблема присутня в ключах YubiKey серії FIPS з прошивками версій 4.4.2 і 4.4.4 (прохання помітити, що версія 4.4.3 не випускалася). Дана проблема полягає в тому, що при первинному підключенні YubiKey FIPS унікальність згенерованих випадкових значень є зниженою. Це може вплинути на перші кілька криптографічних операцій, що виконуються YubiKey FIPS після запуску. Дана проблема характерна тільки для ключів YubiKey серії FIPS і не присутня в будь-яких інших моделях серій YubiKey, Security Key або інших продуктах від Yubico.
Дана проблема зачіпає тільки певні варіанти і сценарії використання. Режими роботи YubiKey FIPS, що використовують алгоритм ECDSA більш схильні до ризику, ніж інші режими роботи. Дивіться розділ Технічні подробиці нижче, для отримання додаткової інформації про те, як дана проблема впливає на різні сценарії використання ключів, а також про методи пом’якшення наслідків даної проблеми.
Фахівці компанії Yubico виявили дану проблему в середині березня, 2019 року, що ініціювало повномасштабне розслідування корінних причин, можливих наслідків і чинників пом’якшення даних наслідків для користувачів. Дана проблема була виправлена в прошивці версії 4.4.5. У зв’язку з оновленням версії прошивки потрібна була також повторна сертифікація FIPS. Нова прошивка версії 4.4.5 була сертифікована 30 квітня 2019 р
Задіяні пристрої
YubiKey серії FIPS з версіями прошивки 4.4.2 і 4.4.4 – версія 4.4.3 не випускається у продаж.
- YubiKey FIPS
- YubiKey Nano FIPS
- YubiKey C FIPS
- YubiKey C Nano FIPS
Не задіяні пристрої
Всі інші продукти компанії Yubico не схильні до проблеми, описаної в даній статті.
Задіяні сценарії використання
Використовуйте цей посібник, щоб визначити, чи зачіпає дана проблема використовувані вами режими роботи. Між можливими сценаріями є істотні відмінності. Будь ласка, звіртеся з розділом Технічні подробиці для отримання подробиць по кожному із сценаріїв.
| YubiOTP і програмовані слоти | Не задіяні | Ніяких дій не потрібно, але Yubico рекомендує провести заміну ключів, для уникнення можливих вразливостей. |
| Смарт-карта | Можливо задіяні – при використанні цифрових підписів з еліптичної кривої ECDSA або відразу після запуску YubiKey FIPS | Будь ласка, ознайомтеся з секцією Смарт-карта для отримання подробиць |
| FIDO U2F | Задіяні – при використанні FIDO U2F відразу після запуску YubiKey FIPS | Будь ласка, ознайомтеся з секцією FIDO U2F для отримання подробиць |
| OATH одноразові паролі | Можливо задіяні – при використанні OATH відразу після запуску YubiKey FIPS | Будь ласка, ознайомтеся з секцією OATH для отримання подробиць |
| OpenPGP | Можливо задіяно – при використанні OATH відразу після запуску YubiKey FIPS | Будь ласка, ознайомтеся з секцією OpenPGP для отримання подробиць |