正当业界力推无密码输入方案,使硬件安全密钥大行其道,也让这些产品的安全性更为重要。继网络大厂二周前的召回行动后,USB安全密钥装置Yubico也在周四发出公告,旗下一个系列产品韧体有臭虫可能降低安全性,将召回市面产品并为用户免费换新。Yubico指出,这个漏洞出在YubiKey FIPS系列上的韧体包括4.4.2及4.4.4(没有4.4.3)版,造成硬件每次启动后,YubiKey FIPS app使用的第一组随机值的随机性降低,以致降低密钥的安全强度。
该公司解释,问题在当FIPS产品开机进行自我测试时,持有随机值的缓冲区包含了一些可预测值,进而影响到加密作业,包括RSA密钥、ECDSA签章、椭圆曲线密码(ECC)密钥及ECC加密等。受影响的使用情境包括FIDO U2F(即硬件钥匙),而智能卡、OpenPGP及OATH一次性密码的安全性也可能被削弱。受该漏洞影响的产品包括YubiKey FIPS、YubiKey Nano FIPS、YubiKey C FIPS及YubiKey C Nano FIPS。其他产品则不受影响。Yubico也提供召回及免费换新服务。在电商网站或和Yubico直接购买到瑕疵产品的用户,可上网站登记并申请换货。而透过经销商购得的用户,则需和厂商联络。五月中网络大厂也才因为蓝牙版Titan爆出,可让黑客冒名登入用户网络大厂账号或连上受害者装置的漏洞,而宣布免费为使用者换新。而出现相同漏洞的中国厂商Feitian(飞天诚信),也宣布了旧换新行动。部分内容来源:FUN88公益平台 http://openbsd.org.tw/