Skip to main content

🚨 Sicherheitslücke in älteren YubiKeys

Sicherheitslücke in älteren YubiKeys (2024)

Im Jahr 2024 wurde eine Schwachstelle in der ECDSA-Implementierung der Infineon-Kryptobibliothek entdeckt. Betroffen sind YubiKey 5 Series (Firmware < 5.7.0) und YubiHSM 2 (Firmware < 2.4.0).

⚠️ Wichtig

  • Nur physischer Zugriff auf den YubiKey ermöglicht den Angriff.
  • Der Angriff erfordert spezialisiertes Equipment und ist nicht remote durchführbar.
  • Challenge-Response (HMAC-SHA1/SHA256) ist nicht betroffen.
  • KeePassXC-Nutzung mit älteren YubiKeys bleibt sicher.

Da YubiKeys nicht per Firmware aktualisiert werden können, empfiehlt sich bei sehr hohen Sicherheitsanforderungen der Umstieg auf Modelle ab Firmware 5.7.0.

🔐 Empfehlung

  • Geräte stets physisch sichern.
  • Bei Verlust: Konten aktualisieren und Schlüssel aus allen Diensten entfernen.
  • Sicherheits-Hardware regelmäßig erneuern.

💡 Hintergrund

  • Gerade bei der Sicherheits-Hardware zeigt sich die Schwachstelle von Yubico – ironischerweise liegt sie in dem, was sonst die größte Stärke des YubiKeys ist.
  • Der YubiKey kann nicht per Firmware-Update aktualisiert werden – das schützt zwar vor Manipulation, verhindert aber auch das Schließen bekannter Lücken.
  • Man könnte sagen: „Die Tür zur Hölle ist versiegelt – aber der Schlüssel zum Himmel leider auch.“

Yubico bietet kein Austauschprogramm an; neue Modelle enthalten eine überarbeitete, sichere Kryptobibliothek.

Quellen

  • 🔗 heise.de — Yubikey: „Cloning“-Angriff offenbar möglich, aber nicht trivial
  • 🔗 theverge.com — YubiKey unfixable security vulnerability (Side-channel exploit)
  • 🔗 yubico.com — Security Advisory YSA-2024-03
Back to top