【訳】
セキュリティ勧告 YSA-2024-03 インフィニオン ECDSA 秘密鍵の復元
【公開情報】
◆Security Advisory YSA-2024-03 Infineon ECDSA Private Key Recovery (Yubico, 2024/09/03)
[セキュリティ勧告 YSA-2024-03 インフィニオン ECDSA 秘密鍵の復元]
https://www.yubico.com/support/security-advisories/ysa-2024-03/
【翻訳】
!----+----!----+----!----+----!----+----!----+----!----+----!----+----!----+----!
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
セキュリティ勧告 YSA-2024-03 Infineon ECDSA秘密鍵の復元
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
公開日:2024年9月3日
追跡ID:YSA-2024-03
CVE: 進行中
CVSS 深刻度: 4.9
概要
YubiKey 5シリーズ、およびファームウェアバージョン5.7.0以前の
Security Keyシリーズ、ファームウェアバージョン2.4.0以前の
YubiHSM 2で使用されているInfineonの暗号ライブラリに脆弱性が発
見されました。Yubicoデバイスにおけるこの問題の深刻度は「中」で
す。
攻撃者は、この問題を巧妙かつ標的を絞った攻撃の一部として悪用し、
影響を受ける秘密鍵を回復することが可能です。攻撃者は、YubiKey
、Security Key、または YubiHSM を物理的に入手し、標的とするア
カウントに関する知識、および必要な攻撃を実行するための特殊な機
器を必要とします。ユースケースによっては、攻撃者は、ユーザ名、
PIN、アカウントパスワード、または認証キーなどの追加の知識も必
要となる場合があります。詳細は、「影響を受けるユースケースと緩
和策」を参照してください。
この中程度の脆弱性は、FIDO標準がデフォルトで影響を受ける機能に
依存しているため、主にFIDOのユースケースに影響を与えます。
YubiKey PIVおよびOpenPGPアプリケーション、およびYubiHSM 2の使
用も、エンドユーザーによる構成およびアルゴリズムの選択によって
は影響を受ける可能性があります。
Yubico製品の継続的な改善の一環として、またサプライチェーンへの
依存を低減するために、Infineonの暗号ライブラリへの依存は取り除
かれ、Yubico独自の暗号ライブラリが採用されました。
ユースケース別の詳細については、以下の「影響を受けるユースケー
ス」を参照してください。
影響を受けない製品
YubiKey 5 シリーズバージョン 5.7.0 以降
YubiKey 5 FIPS シリーズ 5.7 以降(FIPS 申請中)
YubiKey Bio シリーズバージョン 5.7.2 以降
Security Key シリーズバージョン 5.7.0 以降
YubiHSM 2 バージョン 2.4.0 以降
YubiHSM 2 FIPS バージョン 2.4.0 以降
影響を受ける
YubiKey 5 シリーズのバージョン 5.7 より前のバージョン
YubiKey 5 FIPS シリーズ バージョン 5.7 より前のもの
YubiKey 5 CSPN 5.7より前のシリーズ
YubiKey Bio シリーズのバージョン 5.7.2 より前のバージョン
Security Key シリーズ 5.7 以前のすべてのバージョン
YubiHSM 2.4.0 以前のバージョン
YubiHSM 2 FIPS 2.4.0 以前のバージョン
影響を受けるかどうかを確認する方法
YubiKeyのバージョンを確認する
YubiKey を識別するには、Yubico Authenticator を使用して
YubiKey のモデルとバージョンを識別します。YubiKey のシリーズと
モデルは、ホーム画面の左上隅に表示されます。以下の例では、
YubiKey は YubiKey 5C NFC バージョン 5.7.0 です。
YubiHSM 2 の識別
YubiHSM SDK を使用して YubiHSM 2 に接続し、次の手順で get
deviceinfo コマンドを使用します。
$ yubihsm-connector -d
$ yubihsm-shell
$ yubihsm> connect
$ yubihsm> get deviceinfo
影響を受けるユースケースと緩和策
この問題は、Infineon 暗号ライブラリにおける ECDSA 実装のサイド
チャネル脆弱性です。YubiKey および YubiHSM では、楕円曲線に基
づく暗号署名の生成に ECDSA が使用されています。ECDSA は FIDO
で広く使用されていますが、ECC 鍵が使用されている場合、PIV およ
び OpenPGP のユースケースにも影響を与える可能性があります。
ECC 鍵が使用されている場合、YubiHSM 2 の署名およびアテステーシ
ョンにも影響を与える可能性があります。
高度な攻撃者は、この脆弱性を利用して ECDSA 秘密鍵を回復できる
可能性があります。攻撃者がこの攻撃を実行するには、脆弱な操作を
専門の機器で観察できる能力と、物理的な所有権が必要です。脆弱な
操作を観察するには、攻撃者はアカウント名、アカウントパスワード、
デバイス PIN、または YubiHSM 認証キーなどの追加の知識も必要に
なる場合があります。
YubiKey FIDO
認証
YubiKeyを物理的に所持している攻撃者は、FIDO認証情報を取得でき
る可能性があります。
この問題を、ユーザー認証保護ポリシーuserVerificationRequiredに
より厳格なユーザー認証要件が設定された認証情報に対して悪用する
には、攻撃者はユーザー認証(UV)要素(PINまたは生体認証)も入手す
る必要があります。
この問題をクレデンシャル保護ポリシー
userVerificationOptionalWithCredentialIDListで作成されたクレデ
ンシャルに対して悪用するには、ユーザー認証要素(PINまたは生体認
証)またはFIDO credentialIDのいずれかが必要となります。FIDO ク
レデンシャルID は、依拠当事者が YubiKey クレデンシャルを要求す
るプロンプトを観察することで取得できます。例えば、依拠当事者が
ユーザ名、パスワード、および FIDO クレデンシャルを要求する場合、
攻撃者は FIDO クレデンシャルID を発見するために、認証ワークフ
ローを十分に先に進めるためにユーザ名とパスワードが必要になりま
す。しかし、依拠当事者が FIDO クレデンシャルを要求する前にユー
ザ名のみを要求する場合、攻撃者は FIDO クレデンシャルID を発見
するためにユーザ名のみが必要になります。
組織は、セッションの長さを短くし、より頻繁なFIDO認証を要求する
ために、アイデンティティプロバイダの設定を使用することを検討で
きます。YubiKeyを頻繁に使用することで、紛失または盗難に遭った
YubiKeyをより迅速に特定でき、YubiKeyの紛失または盗難に遭った場
合でも、攻撃者にさらされる期間を短縮できます。
FIDO コントロールの詳細については、関連サポート記事をご覧くだ
さい。
アテステーション
アテステーションは、FIDOおよびWebAuthnプロトコルに組み込まれて
います。この機能により、各依存者は、デバイスのメーカーから暗号
的に検証された信頼の連鎖を使用して、どのセキュリティキーを信頼
するかを決定することができます。この機能は、組織向けにカスタマ
イズ可能なアイデンティティプロバイダ内のAAGUIDの許可リストおよ
び禁止リストとして表示されます。
攻撃者はこの問題を悪用して、復元されたアテステーションキーを使
用して不正なYubiKeyを作成することができます。これにより、クレ
デンシャル作成時に有効なFIDOアテステーションステートメントが生
成され、影響を受けるYubiKeyのバージョンに対して組織が設定した
認証モデルの制御がバイパスされます。
真正なYubiKeyが使用されていることを保証するためにFIDO認証に依
存している組織は、FIDOログインをYubiOTPやPIVまたはOpenPGPから
のRSA認証ステートメントなどの他の認証情報で補完することを検討
してください。FIDO認証および詳細な手順に関する詳細は、関連サポ
ート記事を参照してください。
YubiKey PIVおよびOpenPGP
署名
攻撃者は楕円曲線署名鍵を複製できる可能性があります。PIV署名鍵
の場合、攻撃者は署名操作を実行および監視するためにPINが必要で
す。OpenPGP PIN構成によっては、攻撃者はOpenPGP使用事例において
PINを必要とする場合があります。
ユーザーはRSA署名鍵を使用することで緩和できます。PIVおよび
OpenPGPの構成オプションの詳細および詳細な手順については、関連
サポート記事を参照してください。
認証
YubiKeyはすべて、PIV認証証明書と個別のOpenPGP認証証明書を使用
して作成されています。これらはYubico CAによって署名されており、
PIVまたはOpenPGPキーがYubiKey上で作成されたことを示す暗号文を
生成するために使用できます。デフォルトでは、PIV認証証明書と
OpenPGP認証証明書は両方ともRSAキーです。ユーザーがキーを自身の
楕円曲線キーに置き換えた場合、攻撃者はYubiKey外で作成されたキ
ーに対して有効な認証ステートメントを作成することができます。攻
撃者はPINを入力せずに認証操作を実行し、その結果を確認すること
ができます。
ユーザーは、RSA認証証明書を使用し、署名にPINを必要とする
OpenPGPオプションを使用することで、この問題を軽減することがで
きます。
YubiHSM
YubiHSM のすべてのケースにおいて、攻撃者は、影響を受ける楕円曲
線キーで署名操作を実行する適切な機能を持つ認証キーも必要としま
す。
YubiHSM 2 では、利用可能な認証方法があります。1つはパスワード
を使用する方法、もう1つは YubiKey に認証キーを保存する
YubiHSM Auth を使用する方法です。いずれの方法で YubiHSM に認証
する場合も、ECDSA に依存せず、この問題の影響を受けません。
HSM構成および詳細な手順に関する詳細は、関連サポート記事をご覧
ください。
署名
攻撃者は楕円曲線署名鍵を複製できる可能性があります。攻撃者は、
署名アクションを実行するのに十分な機能を備えたHSMに認証できる
必要があります。
ユーザーはRSA署名鍵を使用することで緩和できます。
認証
ユーザーがYubicoが提供するYubiHSM認証キーではなく、自身の楕円
曲線キーで認証を行う場合、攻撃者はYubiHSM外で作成されたキーに
対して有効な認証ステートメントを作成することができます。攻撃者
は認証操作を実行し、監視するために署名認証機能を持つ認証キーを
必要とします。
ユーザーはRSA認証証明書を使用することで緩和できます。
追加リソース
サポート記事:https://support.yubico.com/hc/en-us/articles/
15705749884444
調査:https://ninjalab.io/eucleak/
重要度
Yubicoは、この問題を「中程度」と評価しました。CVSSスコアは4.9
です。
謝辞
2024年4月19日、NinjaLabのThomas Roche博士がYubicoにこのセキュ
リティ問題を通知しました。報告していただいたこと、および調整さ
れた脆弱性開示の下で協力していただいたことに感謝いたします。
タイムライン
2024年4月19日 NinjaLabがYubicoに調査結果を通知
2024年5月21日 YubicoがYubiKey 5.7をリリース
2024年9月2日 YubicoがYubiHSM 2.4を発表
2024年9月3日 Yubicoが勧告YSA-2024-03をリリース
!----+----!----+----!----+----!----+----!----+----!----+----!----+----!----+----!