Cybersicherheitsexperten des Forschungslabors NinjaLab haben eine neue Side-Channel-Attacke namens EUCLEAK entdeckt, die auf die kryptografische Bibliothek von Infineon-Sicherheitsmikrocontrollern abzielt. Diese Entdeckung wirft ein Schlaglicht auf potenzielle Schwachstellen in weit verbreiteten Sicherheitskomponenten und könnte weitreichende Folgen für verschiedene Branchen haben.
Weitreichende Auswirkungen auf Sicherheitsprodukte
Die EUCLEAK-Schwachstelle betrifft eine Vielzahl von Produkten, die Infineon-Lösungen verwenden, darunter:
- Trusted Platform Module (TPM)
- Elektronische Pässe
- Feitian-Zugangskarten
- Kryptowährungswallets
- Intelligente Fahrzeugsysteme
- YubiKey-Hardware-Sicherheitsschlüssel
Besonders besorgniserregend ist die erfolgreiche Klonierung von YubiKey-Geräten durch die Forscher. Obwohl bisher nur die YubiKey 5-Serie getestet wurde, könnten auch andere Geräte mit dem anfälligen Mikrocontroller (wie SLE78, Infineon Optiga Trust M und Infineon Optiga TPM) betroffen sein.
Technische Details der Schwachstelle
Die EUCLEAK-Attacke nutzt eine Schwachstelle in der Implementierung des erweiterten euklidischen Algorithmus, der für Berechnungen der modularen Inversion verwendet wird. Der Hauptgrund für die Anfälligkeit ist das Fehlen einer Constant-Time-Implementierung für ECDSA-bezogene (Elliptic Curve Digital Signature Algorithm) modulare Inversionsoperationen in der Infineon-Kryptobibliothek.
Diese Sicherheitslücke ermöglicht es Angreifern, durch Messung elektromagnetischer Emissionen während der Token-Authentifizierung minimale Zeitunterschiede in der Ausführung zu erkennen. Diese Informationen können zur Extraktion des ECDSA-Ephemeralschlüssels (Nonce) und schließlich des geheimen ECDSA-Schlüssels genutzt werden.
Komplexität und Ressourcenanforderungen
Die praktische Durchführung einer EUCLEAK-Attacke erfordert:
- Physischen Zugriff auf das Zielgerät
- Spezialisierte Ausrüstung im Wert von ca. 11.000 USD
- Fundierte Kenntnisse in Elektrotechnik und Kryptographie
- 24 Stunden für die Offline-Analyse (potenziell auf unter eine Stunde reduzierbar)
Aufgrund dieser Komplexität ist die Bedrohung durch EUCLEAK in der Praxis wahrscheinlich auf hochspezialisierte Akteure wie staatliche Hacker beschränkt.
Implikationen für die Sicherheitsbranche
Die Entdeckung von EUCLEAK unterstreicht die Notwendigkeit kontinuierlicher Sicherheitsüberprüfungen selbst bei zertifizierten Produkten. Trotz etwa 80 Zertifizierungsbewertungen in den letzten 14 Jahren blieb diese Schwachstelle unentdeckt. Dies wirft Fragen zur Effektivität aktueller Zertifizierungsprozesse auf.
Für Unternehmen und Organisationen, die auf FIDO-kompatible Sicherheitsschlüssel wie YubiKey setzen, stellt EUCLEAK eine ernsthafte Bedrohung dar. Die Möglichkeit, diese Geräte zu klonen, untergräbt ihr Hauptsicherheitsmerkmal – die Unmöglichkeit, kryptografisches Material zu extrahieren oder zu kopieren.
Als Reaktion auf diese Entdeckung hat Yubico, der Hersteller von YubiKey, ein Sicherheitsbulletin veröffentlicht. Alle YubiKeys mit Firmware-Versionen vor 5.7 (veröffentlicht im Mai 2024) sind betroffen. Da eine Firmware-Aktualisierung für diese Geräte nicht möglich ist, bleiben sie dauerhaft anfällig für EUCLEAK. Organisationen, die kritische Infrastrukturen oder sensible Daten schützen, sollten die Risiken sorgfältig abwägen und gegebenenfalls Ersatzstrategien entwickeln.
Die EUCLEAK-Schwachstelle unterstreicht die Bedeutung robuster Sicherheitsmaßnahmen und regelmäßiger Überprüfungen in der Cybersicherheitslandschaft. Während die unmittelbare Bedrohung für Durchschnittsnutzer gering erscheint, sollten Unternehmen und Organisationen ihre Sicherheitsstrategien überdenken und gegebenenfalls anpassen. Die Cybersicherheitsgemeinschaft muss wachsam bleiben und kontinuierlich nach möglichen Schwachstellen in selbst den vertrauenswürdigsten Sicherheitslösungen suchen.