操作
設備・備品 #397
未完了ハードウェアトークン: Alice (YubiKey 5 NFC)
ステータス:
運用中
担当者:
-
開始日:
pinned:
いいえ
確認予定日:
納品日:
使用開始日:
保証最終日:
前回確認日:
管理外残件あり:
いいえ
nop_thread さんが3ヶ月前に更新 · 編集済み
- 管理外残件あり を いいえ にセット
- Security Advisory YSA-2024-03 | Yubico
- YubiKeys are vulnerable to cloning attacks thanks to newly discovered side channel | Ars Technica
なにやら ECDSA の計算の実装に脆弱性があり、 YubiKey 5.7 以前 (#397 と #398 は該当する) の実装では定数時間計算されるべきところでされていないため分解して電磁波か何かを観測するサイドチャネル攻撃によって秘密鍵を取り出せるらしい。
ただし機材的にも知識的にもそう簡単なことではないらしく一般人が気にするようなレベルの話でもなさそうなので、あくまで参考情報。
攻撃には、鍵を使った処理で発生するノイズを観測する必要があり、攻撃者はデバイスの物理的な確保 (分解できるほど) と、設定されているなら PIN も知っている必要があるとのこと。
主に ECDSA の計算について言及されているものの、たまに "elliptic curve" 全般に言及しているような部分もあり、 curve25519 系の実装が影響を受けるのか受けないのか結局よくわからない感じがする。そもそも楕円曲線暗号に詳しくないので何もわからん……
操作