#CyberMagazyn: Klucze U2F. Jak z nich korzystać? Czy są bezpieczne?

Ostatnio głośnym echem odbiła się nowa podatność w kluczach od Yubico, która pozwala na klonowanie niektórych Yubikey«ów. Badaczom należą się szczere gratulacje za włożony trud oraz znalezienie podatności w urządzeniach używanych na całym świecie, aczkolwiek to nie oznacza, że powinniśmy masowo rezygnować z wspomnianych kluczy. Warto przytoczyć nagłówki artykułów, które opisują problem:

„Ciekawy, ale na szczęście trudny do realizacji atak klonowania kluczy Yubikey” – Niebezpiecznik

„Można klonować klucze Yubikey 5. Podatne są klucze z firmware < 5.7. Wymagany fizyczny dostęp.” – Sekurak

„Klucze sprzętowe Yubico zhakowane. Ale nie ma katastrofy” – Kapitan Hack

Klonowanie kluczy – co to oznacza?

Badacze z NinjaLab opisali podatność pozwalającą na sklonowanie Yubikey«ów. Luka znajduje się w mikrokontrolerze Infineon 9 i polega na niepoprawnej implementacji rozszerzonego algorytmu Euklidesa (EEA), która pozwala na przeprowadzanie ataku side channel. Takie działanie polega na zdobywaniu i analizowaniu informacji z nieoczywistych źródeł.

„Z punktu widzenia matematycznej poprawności funkcje w bibliotece działają prawidłowo, ale obserwując poboczne kanały (stąd side channel) działającego urządzenia, takie jak zużycie prądu czy czas wykonywania operacji, można wywnioskować pewne szczegóły na temat jego wewnętrznej aktywności czy przetwarzanych danych.” – podsumowuje Sekurak.

Czy jest się czego bać?

Warunki konieczne do przeprowadzenia ataku są… nietypowe. Wśród nich znajdują się m.in. wielokrotne próby logowania do danego konta, fizyczny dostęp do klucza, totalne zniszczenie obudowy klucza oraz sprzęt wartości ok. 11 tysięcy dolarów, nie wspominając już o specjalistycznej wiedzy czy ewentualnym złamaniu kodu PIN.

Wgranie stosownej poprawki jest niemożliwe, lecz prawdopodobieństwo przeprowadzenia takiego ataku na zdecydowaną większość użytkowników sieci jest marginalne. Na pytanie odnośnie używania YubiKey«ów Niebezpiecznik odpowiada w następujący sposób:„Tak, używać. Nawet w podatnej na ten bardzo trudny do przeprowadzenia i mało prawdopodobny atak wersji, klucze YubiKey dalej tak samo skutecznie chronią przed zdecydowanie powszechniejszym zagrożeniem - phishingiem.”

Warto również nadmienić, że Yubico nadało podatności CVSS Score 4.9/10. Jest to zdecydowania mniejsza skala niż luka w YubiKey Manager z kwietnia br., której CVSS Score określono na 7.7/10. Lukę opisaliśmy na łamach CyberDefence24.

YubiKey Manager

Aplikacją pomagającą w obsłudze klucza jest YubiKey Manager, którą można pobrać z oficjalnej strony producenta.

Po zainstalowaniu aplikacji możemy m.in. nadać PIN naszemu kluczowi. Czynności możliwe do wykonania są zależne od wersji urządzenia.

Google a U2F

Klucz U2F można zastosować m.in. podczas logowania do konta Google. Aby to zrobić, należy nacisnąć ikonę swojego konta Google i wybrać opcję ”Zarządzaj kontem Google”. Następnie w zakładce ”Klucze dostępu i klucze bezpieczeństwa” wystarczy kliknąć ”Utwórz klucz”. W przypadku pojawienia się komunikatu o niemożności utworzenia klucza na danym urządzeniu należy przejść dalej - powinna pojawić się informacja o opcji dodania klucza zabezpieczeń.

Dalszym krokiem jest ewentualne dotknięcia klucza w przypadku migotania podświetlenia oraz działanie zgodnie z wyświetlanymi instrukcjami. Klucz powinien zostać dodany do konta.

Facebook (Meta)

Dodanie klucza U2F jako składnika uwierzytelniania odbywa się za pomocą Centrum Kont Meta, do którego można przejść poprzez naciśnięcie panelu po lewej stronie ustawień. W kolejnym kroku należy wybrać opcje Hasło i zabezpieczenia i Uwierzytelnianie dwuskładnikowe. Następnie wystarczy kliknąć Klucze zabezpieczeń oraz Zarejestruj klucz zabezpieczeń.

Microsoft

Aby wzmocnić ochronę konta Microsoft należy przejść do opcji Informacje zabezpieczające, następnie kliknąć: Dodaj metodę logowania oraz wybrać: Klucz zabezpieczeń.

Inne portale

Yubico pozwala na dodawanie kluczy do różnych witryn oraz wielu innych usług, które są wymienione na stronie producenta.

Podsumowanie

Dwuetapowe uwierzytelnianie z wykorzystaniem kluczy fizycznych znacząco zwiększa nasze cyfrowe bezpieczeństwo. Warto pamiętać o podatności w YubiKey’ach, lecz trzeba samemu zdecydować o dalszym korzystaniu ze wspomnianych kluczy.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].