英飞凌TPM模块加密库存在侧通道进犯缺点 Yubico等多个硬件密钥受影响

网络安全公司 NinjaLab 日前发布安全公告泄漏 Yubico 等硬件安全密钥存在的安全缝隙，Yubico 旗下的 Yubikey 是现在最盛行的硬件安全密钥之一，不过实践遭到该缝隙影响的远远不只是硬件安全密钥，其他涉及到英飞凌 TPM 安全模块或控制器的设备也受影响。

问题本源在于英飞凌安全微控制器运用的加密库存在缺点，研究人员在物理触摸硬件安全密钥的情况下，最长能够在 24 小时内完结数据解密。

但是此次问题严重影响 Yubico 硬件安全密钥，由于该公司制作的不少硬件安全密钥不支撑固件更新功用，这意味着缝隙无法修正而是长期存在，除非用户抛弃运用旧密钥购买新密钥。

要想经过这个缝隙打开进犯难度十分大，也便是说在实际国际中假如真有人运用此缝隙进行进犯，那花费的本钱或许也是十分高的，因而大多数用户不会受该问题影响。

在这种情况下持续运用存在侧通道进犯缺点的 YubiKey 依然比不运用硬件密钥安全，究竟硬件安全密钥的优点在于无法长途进犯，再强壮的进犯者也得物理触摸到设备后才干操作。

说到这蓝点网还想起来 Yubico 在本年 5 月份发布 5.7 版固件，该固件也仅适用于新出厂的设备，其时 Yubico 没泄漏这个新固件是干嘛用的，现在知道了，是用来修正侧通道进犯缝隙的 (此缝隙在 4 月份通报给 Yubico 的)

下面是受影响的产品版别：

• YubiKey 5 系列 5.7 之前的版别
• YubiKey 5 FIPS 系列 5.7 之前的版别
• YubiKey 5 CSPN 系列 5.7 之前的版别
• YubiKey Bio 系列 5.7.2 之前的版别
• 安全密钥系列 5.7 之前的版别
• YubiHSM 2.4 之前的版别
• YubiHSM 2 FIPS 2.4 之前的版别

上面说到的版别号其实也便是 YubiKey 修正的版别号，惋惜的是依据 Yubico 公司的安全方针，硬件密钥出厂后不再支撑替换固件，这个方针是避免密钥出厂后被歹意行为者刷入歹意固件的。

因而搭载旧版别固件的 YubiKey 无法更新固件而缝隙永久存在，好在这个缝隙说起来对大多数用户的影响有限，或许在高安全环境中用户尤其是企业或组织用户应当当即购买新的硬件安全密钥进行替换。

最终英飞凌的微控制器缝隙影响的远不只是 YubiKey，但哪些产品还运用这些微控制器还不清楚，英飞凌至今也没有回应安全公司的邮件。

感谢网友 颜拂晓 共享的音讯