Инженеры компании Yubico сообщили, что некоторые аппаратные ключи компании были признаны ненадежными. Дело в том, что проблема в прошивке позволяет снизить произвольность криптографических ключей, генерируемых уязвимыми устройствами.
Багу подвержены девайсы модельного ряда YubiKey FIPS – эти аутентификационные устройства соответствуют американским федеральным стандартам обработки информации (Federal Information Processing Standards, FIPS) и сертифицированы для использования в правительственных сетях США. Представители Yubico предостерегают владельцев следующих девайсов:
- YubiKey FIPS
- YubiKey Nano FIPS
- YubiKey C FIPS
- YubiKey C Nano FIPS
По данным разработчиков Yubico, проблема затрагивает устройства серии YubiKey FIPS, работающие под управлением прошивок 4.4.2 и 4.4.4 (прошивка версии 4.4.3 не выходила). Из-за бага «некоторый предсказуемый контент» в оседает буфере устройства. Этот «предсказуемый контент» и влияет на случайность криптографических ключей, которые генерируются на устройстве в течение короткого периода после загрузки, пока «предсказуемый контент» не будет использован, и в буфере не появятся действительно случайные данные.
Фактически это означает, что такие ключи, генерируемые на устройствах YubiKey FIPS, работающих под управлением прошивок 4.4.2 и 4.4.4, можно восстановить частично или полностью (в зависимости от конкретного использующегося криптографического алгоритма и вариантов использования).
Разработчики Yubico просят владельцев YubiKey FIPS проверить версии прошивок своих устройств и посетить специальную страницу, если девайсу требуется обмен. Компания обещает предоставить всем пострадавшим новые YubiKey FIPS с прошивкой 4.4.5, где баг был исправлен.