Yubico ประกาศว่าเร็วๆ นี้จะเปลี่ยนคีย์ความปลอดภัยฮาร์ดแวร์ซีรีส์ FIPS YubiKey เนื่องจากข้อบกพร่องของเฟิร์มแวร์ที่ลดความสุ่มของคีย์การเข้ารหัสที่อุปกรณ์สร้างขึ้น ซีรีส์ FIPS ของ YubiKey นั้นแตกต่างจากผลิตภัณฑ์เรือธงของบริษัทตรงที่ได้รับการรับรองให้ใช้บนเครือข่ายของรัฐบาลสหรัฐฯ และตั้งชื่อตามมาตรฐานการประมวลผลข้อมูลของรัฐบาลกลาง (FIPS) ของรัฐบาลสหรัฐฯ ในคำแนะนำด้านความปลอดภัยล่าสุด Yubico อธิบายว่าอุปกรณ์ซีรีส์ YubiKey FIPS ใช้งานเฟิร์มแวร์เวอร์ชัน 4.4.2 .4.4.4 และ XNUMX ได้ยกประเด็นที่ค่าสุ่มชุดแรกที่ใช้โดยแอปพลิเคชัน YubiKey FIPS หลังจากค่าพลังของแต่ละอุปกรณ์ลดลงแบบสุ่ม ซึ่งหมายความว่าอุปกรณ์เหล่านี้จะสร้างคีย์ที่สามารถกู้คืนได้บางส่วนหรือทั้งหมด ขึ้นอยู่กับอัลกอริทึมการเข้ารหัสที่ใช้โดยคีย์สำหรับการดำเนินการตรวจสอบสิทธิ์เฉพาะ
การเปลี่ยนคีย์ความปลอดภัย
Yubico ค้นพบปัญหาเป็นการภายในในเดือนมีนาคมและดำเนินการตรวจสอบอย่างละเอียดเกี่ยวกับสาเหตุที่แท้จริง ผลกระทบ และวิธีการที่จะบรรเทาปัญหาให้กับลูกค้า บริษัทได้แก้ไขปัญหาอย่างสมบูรณ์ในเฟิร์มแวร์ซีรีส์ YubiKey FIPS เวอร์ชัน 4.4.5 แต่หลังจากอัปเดตเฟิร์มแวร์ จำเป็นต้องมีการรับรอง FIPS ใหม่ด้วย ตอนนี้ Yubico ยังแนะนำให้เจ้าของอุปกรณ์ซีรีส์ Yubi FiPS ตรวจสอบเวอร์ชันเฟิร์มแวร์ของคีย์ความปลอดภัย และผู้ใช้ที่ได้รับผลกระทบสามารถลงทะเบียนคีย์ใหม่บนพอร์ทัลทดแทนได้ บริษัทได้ประกาศว่าลูกค้าจะได้รับคีย์ซีรีส์ YubiKey FIPS ใหม่พร้อมเฟิร์มแวร์เวอร์ชัน 4.4.5 ตามคำแนะนำด้านความปลอดภัย อุปกรณ์ส่วนใหญ่ที่ได้รับผลกระทบได้รับการเปลี่ยนหรืออยู่ในขั้นตอนการเปลี่ยน: "เพื่อความปลอดภัยของลูกค้าของเรา Yubico ดำเนินโปรแกรมเปลี่ยนคีย์ที่ใช้งานได้สำหรับอุปกรณ์ FIPS ที่เกี่ยวข้อง (เวอร์ชัน 4.4.2 และ 4.4.4 .XNUMX) ตั้งแต่การค้นพบปัญหาและการรับรองซ้ำ ณ เวลาที่ประกาศนี้ เราเชื่อว่าอุปกรณ์ซีรีส์ YubiKey FIPS ที่ได้รับผลกระทบส่วนใหญ่ได้รับการเปลี่ยนหรือถูกแทนที่ด้วยอุปกรณ์เวอร์ชันอัปเดตและแก้ไขแล้ว" นอกจากนี้ Yubico ยังรับประกัน ลูกค้าที่บริษัทรับทราบถึงการละเมิดความปลอดภัยที่เกิดขึ้นจากปัญหานี้ ผ่าน ZDNet