EUCLEAK 側(cè)信道攻擊披露：可提取 ECDSA 算法密鑰，克隆 YubiKey FIDO 設(shè)備

IT之家 9 月 5 日消息，來(lái)自 NinjaLab 的托馬斯?羅什（Thomas Roche）報(bào)告新安全漏洞，并設(shè)計(jì)了 EUCLEAK 側(cè)信道攻擊，可以克隆 YubiKey FIDO 密鑰。

羅什在使用英飛凌（Infineon） SLE78 安全微控制器的 FIDO 設(shè)備（如 Yubico 的 YubiKey 5 系列）中發(fā)現(xiàn)了該 EUCLEAK 漏洞，通過(guò)側(cè)信道攻擊利用 EM 提取橢圓曲線數(shù)字簽名算法（ECDSA）密鑰，從而克隆 FIDO 設(shè)備。

羅什坦言這種攻擊方式比較復(fù)雜，需要攻擊者深度了解電子學(xué)和密碼學(xué)，并需要借助專業(yè)設(shè)備。

該漏洞影響運(yùn)行固件版本早于 5.7.0 的 YubiKey 5 系列設(shè)備，該固件使用英飛凌有缺陷的加密庫(kù)，IT之家附上受 EUCLEAK 影響的設(shè)備如下：

• 5.7 之前的 YubiKey 5 系列版本

• 5.7 之前的 YubiKey 5 FIPS 系列

• 5.7 之前的 YubiKey 5 CSPN 系列

• 5.7.2 之前的 YubiKey Bio 系列版本

• 5.7 之前版本的所有 Security Key 系列

• 2.4.0 之前的 YubiHSM 2 版本

• 2.4.0 之前的 YubiHSM 2 FIPS 版本

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。