Zdroj: Yubico
Yubico zistilo problém v YubiKey FIPS Series zariadeniach verzie 4.4.2 a 4.4.4, kde prvý set náhodných hodnôt po každom zapnutí zariadenia má redukovanú náhodnosť. Môže to ovplyvniť prvý set kryptografických operácií vykonávaných YubiKey FIPS kľúčom po štarte.
Yubico prišlo na problém v polovici marca 2019 a chyba bola opravená vo verzii 4.4.5. Nová verzia dostala FIPS 140-2 certifikáciu 30.apríla 2019. Firma Yubico aktívne kontaktovala zákazníkov a vymenila už väčšinu kľúčov. Ak ste neboli kontaktovaní a máte YubiKey FIPS Series zariadenia verzie 4.4.2 a 4.4.4, požiadajte o výmenu.
Postihnuté boli nasledovné zariadenia:
- YubiKey FIPS
- YubiKey Nano FIPS
- YubiKey C FIPS
- YubiKey C Nano FIPS
FIPS 140-2 je štandard americkej vlády pre kryptografické moduly. Ten kto splní tento štandard a dostane certifikáciu, môže dodávať zariadenia americkým federálnym úradom a agentúram. Od FIPS certifikovaných modulov sa očakáva vysoká úroveň bezpečnosti. Crypto is hard, napriek tomu firma Yubico od nás dostáva titul fail týždňa.
Obrázok: Yubico
