Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

Yubikey-Seitenkanal: Weitere Produkte für Cloning-Attacke anfällig

Die auch als "Yubikey-Cloning-Attacke" bekanntgewordene Sicherheitslücke EUCLEAK betrifft weitere Produkte. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert Sicherheitslösungen wie TPM-Chips mit zugehöriger Software, die Daten geschützt ablegen, nach sogenannten Common Criteria. Einige vom BSI zertifizierte Lösungen wiesen offenbar die EUCLEAK-Lücke auf und mussten rezertifiziert werden, da sie nur mit aktualisierter Software den Sicherheitskriterien entsprechen.

Anzeige

Durch die EUCLEAK-Seitenkanalschwachstelle lässt sich das Secret für digitale Signaturen ergattern und damit digitale Signaturen auch ohne Besitz des Sicherheitstokens erstellen und somit fälschen. Kurz nach Bekanntwerden kam die Befürchtung auf, dass einige Varianten des ePerso betroffen sein könnten, da auch darin unter anderem Infineon-ICs zum Einsatz kommen. Das BSI hatte hier jedoch Mitte September Entwarnung gegeben: Der Perso ist nicht verwundbar.

Organisationen und Hersteller, teils auch in staatlichem Auftrag, verlassen sich auf die Sicherheit von derart zertifizierten Produktkombinationen, die sie etwa in eigenen Produkten wie Ausweisen einsetzen. Thomas Roche warf gegenüber heise online die Frage auf, ob möglicherweise weitere Produkte die EUCLEAK-Lücke aufweisen, die das BSI als renommierte IT-Sicherheitsbehörde zertifiziert hat. Auf unsere Nachfrage hat das BSI nach einiger Zeit zurückgemeldet, dass einige Rezertifizierungen von TPMs erfolgt sind, die mit aktualisierter Software die EUCLEAK-Schwachstelle ausgebessert haben.

Konkret sind demnach bislang drei Zertifikate neu ausgestellt worden für TPMs mit aktualisierter Software: BSI-DSZ-CC-1244-2024, BSI-DSZ-CC-1245-2024 und BSI-DSZ-CC-1246-2024. Dabei handelt es sich um Infineon-TPM-Chips der Spezifikation 2.0 mit konkret neueren Firmware- respektive Software-Versionen. Welche Einrichtungen die in welchen Produkten einsetzen, ist jedoch nicht bekannt. Die "Analyse und Bewertung von Produkten, die auf Infineon-Chips und deren Kryptobibliotheken aufbauen" dauert einer BSI-Sprecherin zufolge noch an. Sie ergänzte, dass es "detaillierter Abstimmungen unter Einbezug von Herstellern, Prüfstellen und gegebenenfalls weiterer externer Stellen" bedarf.

Wir wollten zudem wissen, ob und wie Hersteller und Kunden von problematischen Produkten erfahren und ob beispielsweise Updates möglich sind, um die Lücke zu schließen. Ein BSI-Sprecher erklärte nun dazu: "Bei den Produkten mit zugehörigen Zertifikaten, bei denen eine Sicherheitslücke nachgewiesen werden konnte, handelt es sich um Teile von komplexen Supply-Chains, die in der Regel nicht den Endverbraucher als Kunden adressieren. Hersteller, die zertifizierte Produkte verwenden, informieren ihre jeweiligen Kunden je nach Ergebnis der Analysen, gegebenenfalls auch über individuelle Update-Möglichkeiten. Darüber hinaus hat das BSI auch gemäß den Vorgaben des SOG-IS Disclosure Prozesses informiert."

"Die Einsatz-Szenarien der Endprodukte sind sehr unterschiedlich. Einige Produkte können mit Updates aktualisiert werden, andere müssen eventuell gemäß Risikomanagement behandelt werden. Das BSI begleitet diese Prozesse bei Bedarf und im Kontext des Coordinated-Vulnerability-Disclosure-Prozesses", ergänzte der Behördensprecher.

Anzeige

Anfang September hatte der IT-Sicherheitsforscher Thomas Roche in einer Analyse Details zu den Angriffen auf die Seitenkanal-Schwachstellen in Infineon-ICs und bestimmten zugehörigen Infineon-Softwarebibliotheken erörtert. Für einen Angriff benötigt man physischen Zugang, teures Equipment, angepasste Software und technische Begabung, was ihn weniger wahrscheinlich mache. Konkret lassen sich mit Timing-Informationen für nicht konstante Rechenzeit bei der Berechnung einer modularen Inversion in der ECDSA-Implementierung der Infineon-Bibliothek Rückschlüsse auf das Secret für die digitalen Signaturen ziehen. Damit lassen sich am Ende gültige Signaturen auch ohne ein Sicherheitstoken erstellen.

Jetzt heise Security Pro entdecken

Jetzt heise Security Pro entdecken

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

(Ursprünglich geschrieben von Dirk Knop)
×
Stay Informed

When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.

Studie: Unternehmen an Feiertagen und Wochenenden​...
Trend Micros Deep Security Agent ermöglicht Einsch...
 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Bereits registriert? Hier einloggen
Montag, 20. Januar 2025

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image