Home Economia YubiKeys são um padrão ouro de segurança, mas podem ser clonados

YubiKeys são um padrão ouro de segurança, mas podem ser clonados

Por Humberto Marchezini


O YubiKey 5, o token de hardware mais amplamente utilizado para autenticação de dois fatores com base no Padrão FIDOcontém uma falha criptográfica que torna o dispositivo do tamanho de um dedo vulnerável à clonagem quando um invasor obtém acesso físico temporário a ele, disseram pesquisadores na terça-feira.

A falha criptográfica, conhecida como canal lateralreside em um pequeno microcontrolador usado em um grande número de outros dispositivos de autenticação, incluindo cartões inteligentes usados ​​em serviços bancários, passaportes eletrônicos e acesso a áreas seguras. Embora os pesquisadores tenham confirmado que todos os modelos da série YubiKey 5 podem ser clonados, eles não testaram outros dispositivos usando o microcontrolador, como o SLE78 feito pela Infineon e microcontroladores sucessores conhecidos como Infineon Optiga Trust M e Infineon Optiga TPM. Os pesquisadores suspeitam que qualquer dispositivo usando qualquer um desses três microcontroladores e a biblioteca criptográfica Infineon contém a mesma vulnerabilidade.

Não é possível aplicar patch

O fabricante do YubiKey, Yubico, emitiu uma consultivo em coordenação com um relatório de divulgação detalhada da NinjaLab, a empresa de segurança que fez engenharia reversa na série YubiKey 5 e criou o ataque de clonagem. Todas as YubiKeys executando firmware anterior à versão 5.7 — que foi lançada em maio e substitui a criptobiblioteca Infineon por uma personalizada — são vulneráveis. Não é possível atualizar o firmware da chave na YubiKey. Isso deixa todas as YubiKeys afetadas permanentemente vulneráveis.

“Um invasor pode explorar esse problema como parte de um ataque sofisticado e direcionado para recuperar chaves privadas afetadas”, confirmou o aviso. “O invasor precisaria de posse física da YubiKey, Chave de Segurança ou YubiHSM; conhecimento das contas que deseja atingir; e equipamento especializado para executar o ataque necessário. Dependendo do caso de uso, o invasor também pode exigir conhecimento adicional, incluindo nome de usuário, PIN, senha da conta ou chave de autenticação.”

Canais laterais são o resultado de pistas deixadas em manifestações físicas, como emanações eletromagnéticas, caches de dados ou o tempo necessário para concluir uma tarefa que vaza segredos criptográficos. Nesse caso, o canal lateral é a quantidade de tempo gasto durante um cálculo matemático conhecido como inversão modular. A criptobiblioteca Infineon falhou em implementar uma defesa comum de canal lateral conhecida como tempo constante, pois realiza operações de inversão modular envolvendo o Algoritmo de Assinatura Digital de Curva Elíptica. O tempo constante garante que as operações criptográficas sensíveis ao tempo sejam executadas de forma uniforme, em vez de variável, dependendo das chaves específicas.

Mais precisamente, o canal lateral está localizado na implementação Infineon do Algoritmo Euclidiano Estendido, um método para, entre outras coisas, calcular o inverso modular. Ao usar um osciloscópio para medir a radiação eletromagnética enquanto o token está se autenticando, os pesquisadores podem detectar pequenas diferenças de tempo de execução que revelam a chave ECDSA efêmera de um token, também conhecida como nonce. Uma análise mais aprofundada permite que os pesquisadores extraiam a chave ECDSA secreta que sustenta toda a segurança do token.

No relatório de terça-feira, o cofundador do NinjaLab, Thomas Roche, escreveu:

No presente trabalho, o NinjaLab revela uma nova vulnerabilidade de canal lateral na implementação ECDSA do Infineon 9 em qualquer família de microcontroladores de segurança do fabricante. Esta vulnerabilidade está na inversão modular da chave efêmera (ou nonce) ECDSA e, mais precisamente, na implementação Infineon do Algoritmo Euclidiano Estendido (EEA, para abreviar). Até onde sabemos, esta é a primeira vez que uma implementação do EEA se mostra vulnerável à análise de canal lateral (ao contrário da versão binária do EEA). A exploração desta vulnerabilidade é demonstrada por meio de experimentos realistas e mostramos que um adversário só precisa ter acesso ao dispositivo por alguns minutos. A fase offline levou cerca de 24 horas; com mais trabalho de engenharia no desenvolvimento do ataque, levaria menos de uma hora.

Após uma longa fase de compreensão da implementação do Infineon por meio de análise de canal lateral em um smartcard JavaCard aberto Feitian 10, o ataque é testado em um YubiKey 5Ci, um token de hardware FIDO da Yubico. Todos os YubiKey 5 Series (antes da atualização de firmware 5.7 11 de 6 de maio de 2024) são afetados pelo ataque. Na verdade, todos os produtos que dependem do ECDSA da biblioteca criptográfica Infineon em execução em um microcontrolador de segurança Infineon são afetados pelo ataque. Estimamos que a vulnerabilidade exista há mais de 14 anos nos chips de segurança de ponta da Infineon. Esses chips e a parte vulnerável da biblioteca criptográfica passaram por cerca de 80 avaliações de certificação CC de nível AVA VAN 4 (para TPMs) ou AVA VAN 5 (para os outros) de 2010 a 2024 (e um pouco menos de 30 manutenções de certificado).



Source link

Related Articles

Deixe um comentário