HEADS v2.5 und Nitrokey 3 Firmware v1.7.1 Security Update

Wir haben ein Sicherheitsupdate für unsere NitroPad HEADS-Firmware-Images und die Nitrokey 3 Firmware veröffentlicht. Dieses Update behebt ein potenzielles Sicherheitsproblem im Zusammenhang mit der Neuerstellung von HOTP-Geheimnissen auf dem Nitrokey 3 Gerät.
HEADS v2.5
HEADS v2.5 stellt sicher, dass die Neuerstellung von HOTP-Geheimnissen auf dem Nitrokey 3 immer sowohl die Benutzerverifizierung (Eingabe der Benutzer-PIN / User Verification) als auch die Benutzeranwesenheit (Berührung des Nitrokey 3 / User Presence) erfordert. Bitte stellen Sie sicher, dass Sie Ihren Nitrokey 3 immer zusammen mit Ihrer HEADS-Firmware aktualisieren, da die Version v2.5 nicht mit einer Nitrokey 3 Firmware älter als v1.7.1 kompatibel ist.
Diese Updates sind bisher für alle NitroPads verfügbar. Die NitroPC Pro HEADS Version ist noch nicht aktualisiert, dieses Firmware-Update wird auch bald kommen.
Nitrokey 3 Firmware v1.7.1
Um korrekt mit HEADS v2.5 zu arbeiten, wurde auch die Nitrokey 3 Firmware auf Version v1.7.1 aktualisiert. Bei früheren Firmware-Versionen war für die Wiederherstellung von HOTP-Geheimnissen nur die Anwesenheit des Benutzers (User Presence) erforderlich, die Benutzer-PIN wurde jedoch nicht überprüft, was eine weniger strenge Sicherheitsrichtlinie war als beabsichtigt.
Bitte beachten Sie, dass Sie nach dem Update auf die Nitrokey 3 Firmware v1.7.1 auch HEADS auf v2.5 aktualisieren müssen. Die neue Nitrokey 3-Firmware ist mit älteren HEADS-Versionen nicht kompatibel. Alle anderen Kombinationen von HEADS- und Nitrokey 3 Firmwareversionen sind kompatibel.
Durch die Aktualisierung auf HEADS v2.5 und Nitrokey 3 Firmware v1.7.1 werden die vollständigen Sicherheitsanforderungen für die Neuerstellung von HOTP-Geheimnissen nun wie ursprünglich vorgesehen durchgesetzt - sowohl die Benutzerverifizierung als auch die Benutzeranwesenheit sind obligatorisch.
Wir empfehlen allen HEADS-Benutzern, so bald wie möglich auf diese neuesten Versionen zu aktualisieren. Folgen Sie den Update-Anweisungen für Nitrokey 3 und HEADS. Wenn Sie Qubes OS verwenden, kann dieser Workaround erforderlich sein. Wie immer können Sie uns gerne kontaktieren, wenn Sie Fragen oder Probleme haben.
Comments
Add new comment