Fragen? Antworten! Siehe auch: Alternativlos
Nehmen wir nur Infineon. Die haben schon eine lange Geschichte von verkackter Security, und schlimmer noch: Von Lücken, die Jahre bis Jahrzehnte "unentdeckt" bleiben und die sie dann kleinreden, wenn sie rauskommen. Infineon geriert sich gerne als Smartcard-Spezialexperte aber die Kunden verhungern dann am langen Arm.
Ein aktuelleres Beispiel war Eucleak, ein Angriff auf eine Infineon-Library (Code!!) in Yubikeys der Serie 5. Auch diese Lücke war mal wieder ewig alt und segelte 14 Jahre lang durch 80 Common-Criteria-Zertifizierungen.
Für mich ist der Fall klar: Da hatte niemand ein Interesse daran, sichere Produkte zu produzieren. Infineon war wichtig, den Scheiß zu verkaufen, den Zertifizierern war wichtig, Kohle abzugreifen, und den Behörden war wichtig, Theater zu veranstalten, damit ihre Zertifizierungen hilfreich und wichtig aussehen. Aus meiner Sicht ist das Gegenteil der Fall.
Das war ein Seitenkanalangriff mit dem man das geheime Keymaterial extrahieren kann. Das ist für ein Security-Token, dessen einzige Daseinsberechtigung ist, das geheime Keymaterial vor Zugriff zu schützen, ein verdammter Totalschaden.
Yubikey wird also sofort alle Keys zurückgerufen und ausgetauscht haben, richtig? Und Infineon als Schuldiger wird die Kosten getragen haben? Haha, nichts davon ist passiert! Infineon sitzt in ihrem Geldspeicher und zählt die Dollars, bringt eine neue Softwareversion raus und findet, der Rest sei nicht ihr Problem. Yubikey hat Infineons Marketing-Koolaid getrunken und keinen Weg zum Softwareupdate eingebaut, weil das die Sicherheit der Geräte kompromittieren würde.
Jetzt wo die Geräte auch ohne Updatemöglichkeit kompromittiert sind, versucht ein Kumpel von mir seit ein paar Wochen, seine drei Yubikeys tauschen zu lassen. Yubikey hat dem erzählt: Lolnope. Dafür braucht ein Angreifer enorme kriminelle Energie und Spezialhardware!1!! Das tauschen wir nicht.
Das, meine Damen und Herren, ist der Zustand der Security-Branche. Die Software-Klitschen sind ja schon alle furchtbar, aber die Hardware-Klitschen sind bei näherer Betrachtung nicht besser.
Aber hey, glaubt nicht mir, dass dieses Yubikey-Problem gefährlich ist. Glaubt den Österreichern, die Yubikeys mit der alten Software für ID Austria und xIDENTITY (deren elektronischer Identitätsnachweis für digitale Behördengänge) nicht mehr zulassen, weil man da zu leicht den Schlüssel extrahieren kann. Wenn ihr mal schlechte Laune kriegen wollt, guckt euch die Infineon-Marketingmaterialien zu elektronischen Ausweisen an.
Update: Ist sogar noch krasser, wie ein Leser anmerkt:
zu der Yubikey-Geschichte sei noch angemerkt, dass die aktuell sogar so dreist sind erstmal ihre Lagerbestände mit verwundbaren Keys abzuverkaufen anstatt die zu verschrotten. Hab neulich zwei von den Dingern bestellt (die teure FIPS-Variante!) und was bekomme ich geliefert? Die Keys mit der alten, verwundbaren Firmware. Hintergrund soll wohl sein, dass die zunächst Behörden und andere "priorisierte" Kunden mit den Keys mit der neuen Firmware beliefern.
Aber so machen sie noch einen Reibach mit dem alten Schrott. D.h. selbst wenn man sie gerade neu kauft kriegen Kunden Müll geliefert.