Yubico anunció que pronto reemplazará las claves de seguridad de hardware de su serie FIPS de YubiKey debido a una falla de firmware que reduce la aleatoriedad de las claves criptográficas generadas por los dispositivos.

A diferencia de los productos principales de la compañía, la serie FIPS de YubiKey está certificada para su uso en redes del gobierno de EE. UU. Y lleva el nombre de los Estándares de procesamiento de información federal (FIPS) del gobierno de EE. UU.

En un aviso de seguridad reciente, Yubico explicó que los dispositivos de la serie FIPS de YubiKey que ejecutan las versiones de firmware 4.4.2 y 4.4.4 plantearon el problema de que el primer conjunto de valores aleatorios utilizados por las aplicaciones FIPS de YubiKey después de La potencia de cada dispositivo se redujo al azar.

Esto significa que estos dispositivos generarán claves que pueden recuperarse parcial o totalmente dependiendo del algoritmo criptográfico utilizado por la clave para una operación de autenticación particular.

Reemplazo de llaves de seguridad.

Yubico descubrió el problema internamente en marzo y realizó una investigación exhaustiva sobre la causa raíz, el impacto y cómo podría aliviar el problema para sus clientes. La compañía resolvió completamente el problema en la versión 4.4.5 del firmware de la serie FIPS de YubiKey, pero luego de la actualización del firmware, también se requirió una recertificación de FIPS.

Yubico ahora también aconseja a los propietarios de dispositivos de la serie FiPS de Yubi que comprueben la versión de firmware de su clave de seguridad y los usuarios afectados pueden registrarse para obtener una nueva clave en su portal de reemplazo. La compañía ha anunciado que sus clientes recibirán nuevas claves de la serie YubiKey FIPS con la versión de firmware 4.4.5.

Según el aviso de seguridad, la mayoría de los dispositivos afectados han sido reemplazados o están en proceso de ser:

"Para garantizar la seguridad de nuestros clientes, Yubico lleva a cabo un programa de reemplazo de clave activa para dispositivos FIPS relevantes (versiones 4.4.2 y 4.4.4) desde el descubrimiento del problema y la recertificación. En el momento de este aviso, creemos que la mayoría de los dispositivos afectados de la serie FIPS de YubiKey han sido reemplazados o están siendo reemplazados por versiones actualizadas y fijas de los dispositivos. "

Yubico también aseguró a los clientes que la compañía ahora estaba al tanto de cualquier brecha de seguridad que se produjo como resultado de este problema.

A través de ZDNet

Share This
A %d blogueros les gusta esto: