하드웨어 보안키 YubiKey 리콜

FIPS 시리즈만 해당

유비코(Yubico)의 하드웨어 보안 키 제품인 유비키에서 취약점이 발견돼 리콜 중이다. 이 키에서 생성된 값이 규격만큼 강력하지 못하기 때문이다.

유비키는 여러 제품군이 있는데, 제품명에 FIPS가 표기된 것들만 취약하다. 이 제품군 중에서도 펌웨어 버전 4.4.2~4.4.4인 것에만 해당된다. 4.4.5 버전은 취약점이 해결된 것이다.

유비키를 사용하려고 전원을 켠 후, 첫번째로 생성된 값이 취약하다. 키 값은 무작위성이 생명이다. 그런데 취약한 제품은 최초 생성 키 값에 예측 가능한 부분을 포함한다. 유비키의 전원을 켜면 자기진단 과정을 거치는데, 이때 생성된 값 일부가 첫번째 사용시 생성되는 키 값에 포함되는 것이다. 사실상 키 길이가 짧아지는 효과를 가져오므로, 해킹에 취약할 수 밖에 없다.

하드웨어 보안 키로는 구글의 Titan Security Key도 유명하다. 타이탄 시큐리티 키는 FIDO(2단계 인증용) 전용이다. 반면 유비키는 여러 가지 애플리케이션과 프로토콜을 지원하는 만능 기기이다. 전자 서명에 사용되는 ECDSA 서명을 만들 때도 쓸 수 있다. 이런 많은 사용 경우에 따라 취약한 정도가 다르다. 그런데 ECDSA 서명 생성시 가장 취약하다.

타이탄 시큐리티 키도 5월에 리콜을 시행했다. 비슷한 시기에 하드웨어 보안 키의 대표격인 두 제품이 취약점을 드러낸 것이다. 그러나 하드웨어 보안 키를 해킹하는 것은 상당한 노력이 추가로 필요하므로, 그 보안성을 무시해서는 안 될 것이다.


관련 자료
  1. 구글 타이탄 보안키 리콜

참고 자료
  1. Security Advisory YSA-2019-02 Reduced initial randomness on FIPS keys

댓글

이 블로그의 인기 게시물

엑셀 필터 상태에서 복사와 잘라내기

가정에서도 망 분리를 해보자

잉크젯 프린터 전원은 항상 켜 놓아야 좋다