2P by neo 19일전 | favorite | 댓글 1개
  • YubiKey가 여전히 EUCLEAK 공격에 취약한 펌웨어를 가진 구형 재고를 판매하고 있음이 보고됨
  • Fefe's Blog의 한 독자가 이를 보고함
Hacker News 의견
  • YubiKey의 취약점 발표를 놓쳤으나, 개인의 위협 모델에는 큰 영향을 주지 않음

    • 공격자가 YubiKey를 물리적으로 소유하고, 타겟 계정에 대한 지식과 전문 장비가 필요함
    • 사용자 이름, PIN, 계정 비밀번호, 인증 키 등의 추가 정보가 필요할 수 있음
  • Yubico가 취약한 키를 폐기하지 않고 판매하고 있다는 지적이 있음

    • 새로운 펌웨어가 있는 키는 우선적으로 기관 및 "우선 고객"에게 공급됨
  • 고객이 Yubico를 신뢰할 수 있는지에 대한 의문이 제기됨

    • 제조사가 고객 보호를 위해 노력해야 한다는 기대가 있음
    • 취약한 키를 판매하는 것은 신뢰 위반으로 간주됨
  • YubiKey를 분실하면 데이터가 손상될 수 있음

    • 14년 동안 발견되지 않은 취약점이 존재함
    • YubiKey를 분해하지 않고도 비밀을 추출할 수 있는 방법이 있음
  • Yubico가 키를 판매하는 이유는 펌웨어 버전을 명확히 표시하는 것이 비용이 많이 들기 때문임

    • 경쟁자가 등장할 기회로 보임
    • Nitrokey가 좋은 대안으로 제시됨
  • 보안 토큰을 구매할 때, 오픈 펌웨어와 하드웨어를 가진 제품을 선호함

    • 독립적으로 검사된 제품을 원함
    • 펌웨어를 로드하고 업데이트할 수 있는 기능이 있으면 좋음
  • Nitrokey를 추천함

    • 소프트웨어가 GitHub에 공개되어 있음
  • 구형 YubiKey를 할인된 가격에 구매할 의향이 있음

    • 개인의 위협 모델에서는 도난된 키에 대한 저항이 크게 필요하지 않음
  • 고객이 보안 토큰을 선택하는 최종 단계에 있었음

    • YubiKey는 더 이상 옵션이 아님
    • 결함 처리 방식에 실망함
  • Yubico의 키 구매 시 수동 공격적인 판매 이메일을 받을 수 있음