หน้าแรก Security Hacker คีย์ YubiKey FIPS บางตัวมีช่องโหว่ให้แฮ็กเกอร์สร้างคีย์ได้

คีย์ YubiKey FIPS บางตัวมีช่องโหว่ให้แฮ็กเกอร์สร้างคีย์ได้

แบ่งปัน

ทาง Yubico ได้ออกประกาศคำแนะนำด้านความปลอดภัย ที่ระบุว่ามีปัญหาในอุปกรณ์ตระกูล YubiKey FIPS Series (ในเวอร์ชั่น 4.4.2 และ 4.4.4) ที่ทำให้ลดความแข็งแรงของคีย์ RSA และซิกเนเจอร์ ECDSA ที่สร้างขึ้นหลังจากเปิดใช้งาน

คีย์ของ YubiKey ซีรี่ย์ FIPS ที่ได้รับผลกระทบได้แก่ YubiKey FIPS, YubiKey Nano FIPS, YubiKey C FIPS, และ YubiKey C Nano FIPS โดยที่ผลิตภัณฑ์อื่นของ YubiKeyไม่ได้รับผลกระทบแต่อย่างใด โดยทาง Yubicoระบุว่าช่องโหว่ในการใช้งานบางอย่างสามารถลดการสุ่มคีย์หลังจากเปิดการใช้งานได้

หรืออีกนัยหนึ่งคือ บนผลิตภัณฑ์ที่ได้รับผลกระทบนั้น บัฟเฟอร์ที่เก็บข้อมูลค่าที่สุ่มออกมาจากอัลกอริทึมทั้ง RSA และ ECDSA นั้นมีข้อมูลที่สามารถทำนายได้ ทำให้ข้อมูลคีย์ที่ออกมาไม่ได้ถูกสุ่มมากเท่าที่ควรจะเป็นแม้จะเกิดขึ้นเฉพาะช่วงที่อุปกรณ์เปิดใช้งานขึ้นมาก็ตาม

โดยหลังจากข้อมูลที่คาดการณ์ได้ช่วงแรกในบัฟเฟอร์ได้ถูกใช้ไปแล้ว หลังจากนั้นจะถูกแทนที่ด้วยข้อมูลตัวเลขที่ถูกสุ่มอย่างเต็มที่ทำให้การใช้งานหลังจากช่วงดังกล่าวกลับสู่สภาวะปกติ ทั้งนี้ Yubico เป็นผู้ค้นพบปัญหาดังกล่าวจากภายในเอง และแก้ไขเรียบร้อยแล้วในเวอร์ชั่น 4.4.5

ที่มา : Bleepingcomputer