ECDSA Schwachstelle in YubiKey und YubiHSM entdeckt
Eine Sicherheitslücke (YSA-2024-03) wurde in der kryptographischen Bibliothek von Infineon entdeckt, die in YubiKey 5 Series und YubiHSM 2 mit Firmware-Versionen vor 5.7.0 bzw. 2.4.0 verwendet wird. Die Schwachstelle ermöglicht es einem Angreifer, in einem gezielten Angriff private ECDSA-Schlüssel wiederherzustellen. Dafür sind physischer Zugang zum Gerät und spezielle Ausrüstung erforderlich. Betroffen sind vor allem FIDO-Anwendungen.
Yubico hat mit Firmware-Updates auf Version 5.7.0 (YubiKey) und 2.4.0 (YubiHSM) reagiert, um das Problem zu beheben. Nutzern wird empfohlen, sofort zu aktualisieren, um die Schwachstelle zu schließen.