YubiKey 5, FIDO standardına dayalı iki faktörlü kimlik doğrulamada en yaygın kullanılan donanım tokenlerinden biridir. Ancak Salı günü araştırmacılar, cihazın geçici fiziksel erişime sahip bir saldırgan tarafından klonlanmasına neden olabilecek bir kriptografik açık içerdiğini açıkladılar.
Yan Kanal Açığı ve Etkisi
Bu kriptografik açık, birçok kimlik doğrulama cihazında kullanılan küçük bir mikro denetleyicinin içindeki yan kanal saldırısıyla ilgilidir. Yan kanallar, elektromanyetik yayılımlar, veri önbellekleri veya görev tamamlama süresi gibi fiziksel göstergelerden kaynaklanan ipuçlarıdır. Bu ipuçları, kriptografik sırların açığa çıkmasına neden olabilir. Bu özel durumda, yan kanal, modüler ters çevirme olarak bilinen matematiksel bir hesaplama sırasında geçen süreyle ilişkilidir.
Infineon kriptolib’inde kullanılan bu modüler ters çevirme işlemi, sabit zamanlı bir güvenlik önlemi uygulanmadan gerçekleştirilmiştir. Sabit zaman, şifreleme işlemlerinin her zaman aynı sürede gerçekleşmesini sağlayarak, süreye dayalı saldırıların önlenmesine yardımcı olur. Ancak bu savunma eksikliği, Eliptik Eğri Dijital İmza Algoritması (ECDSA) kullanılırken cihazı savunmasız hale getirir.
YubiKey Klonlama Saldırısı
Saldırganlar, YubiKey’in içindeki kriptografik anahtarları çözmek için bu yan kanal açığından faydalanabilirler. Bunun için cihazın fiziksel olarak ele geçirilmesi gerekir. NinjaLab araştırmacıları, saldırıyı gerçekleştirmek için bir osiloskop kullanarak, token kendini doğrularken oluşan elektromanyetik radyasyonu ölçer. Bu ölçümler, geçici ECDSA anahtarını, yani nonce’u açığa çıkarır ve analiz yoluyla gizli ECDSA anahtarı elde edilebilir.
Araştırmalar, bu saldırının, YubiKey 5 serisinin Mayıs 2024’ten önceki sürümlerinin tamamını etkilediğini göstermiştir. Özellikle Infineon kriptolib’ine dayanan tüm cihazlar bu açıktan etkilenir. YubiKey’lerin yazılım güncellemesiyle bu açık kapatılamadığından, tüm etkilenen cihazlar kalıcı olarak savunmasız kalır.
Saldırının Zorlukları ve Güvenlik Önlemleri
Bu tür bir saldırının gerçekleştirilmesi oldukça zordur ve yaklaşık 11.000 dolar değerinde ekipman gerektirir. Bu da saldırının büyük ihtimalle yalnızca devlet destekli ya da benzer kaynaklara sahip gruplar tarafından gerçekleştirilebileceği anlamına gelir. Ayrıca, fiziksel erişim gerektiği için saldırı yaygın bir şekilde kullanılmayabilir.
FIDO uyumlu anahtarlar, kimlik avı saldırılarına veya ortadaki adam saldırılarına karşı güvenli kalmaya devam eder. Anahtarın fiziksel olarak çok yetenekli bir saldırganın eline geçmemesi durumunda, bu cihazlar en güçlü kimlik doğrulama yöntemlerinden biri olmaya devam eder.
Güvenlik Risklerine Karşı Alınabilecek Önlemler
YubiKey kullanıcıları, cihazlarını daha fazla güvence altına almak için ek kullanıcı doğrulama yöntemleri kullanabilir. Kullanıcı tarafından belirlenen bir PIN kodu, parmak izi veya yüz taraması gibi doğrulama faktörleri, bu tür saldırılara karşı ek bir güvenlik katmanı sağlar. Bu önlemleri nasıl etkinleştirebileceğinizi buradan öğrenebilirsiniz.