YubiKey 暗号欠陥の脆弱性により攻撃者が秘密鍵を抽出してデバイスを複製できる

YubiKeysの暗号欠陥により攻撃者は秘密鍵を抽出してデバイスを複製できる

2024年9月4日 YubiKeyはFIDO標準に基づく二要素認証用ハードウェアのトークンとして世界中で利用されています。海外のセキュリティ研究者が暗号欠陥の脆弱性により、YubiKey5シリーズを対象としたサイドチャネル攻撃でデバイス内に保存されている秘密鍵を抽出して、YubiKey5のデバイスを複製できる事を指摘しました。

サイドチャネル攻撃とは

暗号解読ではなく、その周辺で発生するハードウェアの電力消費や電磁放射、処理時間など様々な情報を活用して機密情報を窃取する攻撃になります。

YubiKeyの脆弱性について

YubiKeyへの攻撃は、YubiKey 5のセキュアエレメント(不正アクセスを防ぐための保護機能を持ったチップ)に使用されているInfineon製の「SLE78」や「Optiga」「OPTIGA」の暗号化ライブラリの欠陥を悪用します。

研究者らはこれら3つのマイクロコントローラーのいずれかとInfineonの暗号ライブラリを使用するデバイスには、同じ脆弱性が含まれていると疑っているとしています。

影響を受けるバージョン

影響を受けない製品影響を受ける製品
YubiKey 5 シリーズ バージョン 5.7.0 以降YubiKey 5 シリーズ 5.7 より前のバージョン
YubiKey 5 FIPS シリーズ 5.7 以降 (FIPS 申請中)YubiKey 5 FIPS シリーズ 5.7 以前
YubiKey Bio シリーズ バージョン 5.7.2 以降YubiKey 5 CSPN シリーズ 5.7 以前
セキュリティ キー シリーズ バージョン 5.7.0 以降YubiKey Bio シリーズ 5.7.2 より前のバージョン
YubiHSM 2 バージョン 2.4.0 以降セキュリティ キー シリーズ 5.7 より前のすべてのバージョン
YubiHSM 2 FIPS バージョン 2.4.0 以降YubiHSM 2 バージョン 2.4.0 より前
YubiHSM 2 FIPS バージョン 2.4.0 より前

YubiKeyを提供しているYubicoの見解

YubiKeyは、二要素認証(2FA)やその他のセキュリティ的に重要な用途での認証に使用されている為

悪用されれば甚大な影響が発生すると予想されます。

Yubicoは、YubiKey 5 シリーズ、ファームウェア バージョン 5.7.0 より前の シリーズ、およびファームウェア バージョン 2.4.0 より前の YubiHSM2 で使用されている Infineon の暗号化ライブラリに脆弱性が見つかったことを認めています。

また、Yubicoは声明で「攻撃者は、影響を受けた秘密鍵を回復するための高度で標的を絞った攻撃の一環としてこの問題を悪用する可能性があります。攻撃者は、YubiKey、セキュリティキー、またはYubiHSMを物理的に所有し、攻撃したいアカウントに関する知識と、必要な攻撃を実行するための特殊な機器を必要とします」と述べています。

実際、以下に記載している攻撃の流れの通り相応の知識と専門的な機器を用いなければならず、脆弱性を悪用される可能性は非常に少ないです。

YubiKeyへの攻撃の流れ

サイドチャネルの悪用

この攻撃ではYubiKeyへの物理的なアクセスが必要です

このプロセスでは、オシロスコープをデバイスの近くに配置し、ECDSA計算中に放出される信号を記録します。

モジュラーインバージョンの脆弱性

攻撃の核心部分は、ECDSAのモジュラ逆数ステップにあります。

ここで、nonce(ノンス)と呼ばれる暗号通信で用いるデータが逆数に変換されます。

Infineonの実装では、この操作が定数時間で行われないためタイミングリークが発生し、これを悪用してノンスを復元できます。

鍵の復元

ノンスが復元されると、攻撃者は既知のECDSA署名と公開鍵を使用して秘密鍵を計算できます。

これにより、攻撃者はYubiKeyをクローン化し、そのセキュリティを事実上無効化します。

この脆弱性は、ファームウェアバージョンが5.7未満のすべてのYubiKey 5シリーズのデバイスに影響を与えます。

YubiKeyのバージョンを確認する方法

Yubico Authenticatorアプリを使用すれば、YubiKeyのバージョンを確認できます。

ホーム画面の左上隅に、キーのシリーズとモデルが表示されます。この例では、YubiKey はバージョン 5.7.0 の YubiKey 5C NFC として識別されています。

画像引用:CybersecurityNews

参照

YubiKeys cryptographic Flaw Let Attackers Clone Devices by Extracting Private Key

YubiKeys are vulnerable to cloning attacks thanks to newly discovered side channel

TOPへ