Security Advisory YSA-2024-03 Infineon ECDSA Private Key Recovery
Published Date: 2024-09-03
https://www.yubico.com/support/security-advisories/ysa-2024-03/
 

นักวิจัยพบช่องโหว่ side channel ใน Infineon’s cryptographic library
ซึ่งถูกใช้ใน Yubikey เวอร์ชันเฟิร์มแวร์ก่อน 5.7 (ก่อน 6 พฤษภาคม 2024)
และ Feitian A22 Javacard แต่ปัจจุบันไม่มีในตลาดแล้ว

นั่นคือ  คนร้ายที่มีทรัพยากร 
จะสามารถเข้าถึง private key ที่ซ่อนไว้ได้  โดยที่
1.  ครอบครอง key
2.  และทราบ username, PIN, account password หรือ authentication key

อย่างไรก็ตามความร้ายแรงให้อยู่ที่ 4.9  ซึ่งอยู่ในระดับปานกลาง
เพราะนอกจากสองข้อข้างบนแล้ว
3.  ต้องใช้อุปกรณ์เครื่องมือระดับสูงมาก  มีราคาแพงมาก  ในการแฮก

อนึ่ง Yubico ไม่มีนโยบายอัพ firmware 
และเนื่องจากมีความร้ายแรงปานกลาง
จึงไม่มีนโยบายเปลี่ยนคีย์ให้ลูกค้า

ดังนั้น  ท่านคงต้องประเมินความเสี่ยงของท่าน
เพื่อเปลี่ยนไปใช้คีย์ที่ใช้ firmware รุ่นใหม่  หรือยี่ห้ออื่น
และเลิกใช้ private ในรุ่นเก่าที่มีปัญหาเหล่านี้ครับ

Internet Archive Lost The Fight - Threat Wire
Hak5
22,788 views 
11 Sept 2024
https://www.youtube.com/watch?v=wA3HZ738PrQ