HEADS v2.5 und Nitrokey 3 Firmware v1.7.1 Security Update

Wir haben ein Sicherheitsupdate für unsere NitroPad HEADS-Firmware-Images und die Nitrokey 3 Firmware veröffentlicht. Dieses Update behebt ein potenzielles Sicherheitsproblem im Zusammenhang mit der Neuerstellung von HOTP-Geheimnissen auf dem Nitrokey 3 Gerät.

HEADS v2.5

HEADS v2.5 stellt sicher, dass die Neuerstellung von HOTP-Geheimnissen auf dem Nitrokey 3 immer sowohl die Benutzerverifizierung (Eingabe der Benutzer-PIN / User Verification) als auch die Benutzeranwesenheit (Berührung des Nitrokey 3 / User Presence) erfordert. Bitte stellen Sie sicher, dass Sie Ihren Nitrokey 3 immer zusammen mit Ihrer HEADS-Firmware aktualisieren, da die Version v2.5 nicht mit einer Nitrokey 3 Firmware älter als v1.7.1 kompatibel ist.

Diese Updates sind bisher für alle NitroPads verfügbar. Die NitroPC Pro HEADS Version ist noch nicht aktualisiert, dieses Firmware-Update wird auch bald kommen.

Nitrokey 3 Firmware v1.7.1

Um korrekt mit HEADS v2.5 zu arbeiten, wurde auch die Nitrokey 3 Firmware auf Version v1.7.1 aktualisiert. Bei früheren Firmware-Versionen war für die Wiederherstellung von HOTP-Geheimnissen nur die Anwesenheit des Benutzers (User Presence) erforderlich, die Benutzer-PIN wurde jedoch nicht überprüft, was eine weniger strenge Sicherheitsrichtlinie war als beabsichtigt.

Bitte beachten Sie, dass Sie nach dem Update auf die Nitrokey 3 Firmware v1.7.1 auch HEADS auf v2.5 aktualisieren müssen. Die neue Nitrokey 3-Firmware ist mit älteren HEADS-Versionen nicht kompatibel. Alle anderen Kombinationen von HEADS- und Nitrokey 3 Firmwareversionen sind kompatibel.

Durch die Aktualisierung auf HEADS v2.5 und Nitrokey 3 Firmware v1.7.1 werden die vollständigen Sicherheitsanforderungen für die Neuerstellung von HOTP-Geheimnissen nun wie ursprünglich vorgesehen durchgesetzt - sowohl die Benutzerverifizierung als auch die Benutzeranwesenheit sind obligatorisch.

Wir empfehlen allen HEADS-Benutzern, so bald wie möglich auf diese neuesten Versionen zu aktualisieren. Folgen Sie den Update-Anweisungen für Nitrokey 3 und HEADS. Wenn Sie Qubes OS verwenden, kann dieser Workaround erforderlich sein. Wie immer können Sie uns gerne kontaktieren, wenn Sie Fragen oder Probleme haben.

5.6.2024

Comments

Any reason for non-HEADS users to install 1.7.1?
Nope, there is no application/use-case we are aware of that is affected by this change despite HEADS. But v1.7.2 is already around the corner.
I was unable to use the Qubes workaround to reboot the NK3 in bootloader mode. After issuing the command and touching the key the system did not register a change and still showed the key attached to the AppVM. Attempting to detach and reattach to either sys-usb or the AppVM results in a brief error message. The nitropy command also cannot see the key and throws some sort of API error.
Depending on the versions of various components inside QubesOS this might take multiple tries to work. The great people at QubesOS have also done a fix for this re-connection issue, you can find the issue here: https://github.com/QubesOS/qubes-issues/issues/8953 At the end you can find instructions on how to update the affected components. We are also working on a solution based on our NitrokeyApp2 so that Nitrokey 3 updates will work more smoothly in the future inside QubesOS.

Add new comment

Fill in the blank.