Nitrokey 3 Firmware v1.8.1 Sicherheitsupdate

Die Nitrokey 3-Firmware v1.8.0 wurde letztes Jahr mit Unterstützung für die PIV-Smartcard-Funktionalität veröffentlicht. Heute veröffentlichen wir ein Update v1.8.1. Wenn du PIV verwendest, empfehlen wir Dir, das Update sofort durchzuführen.

CVE-2025-25201

Bei Version 1.8.0 und Testversionen mit aktiviertem PIV vor 1.8.0 konnte die PIV-Funktionalität ungültige Schlüssel für die Authentifizierung des Administratorschlüssels akzeptieren.  
Dies könnte zu einer Beeinträchtigung der Integrität von PIV-Datenobjekten führen.  
Ein Angreifer, der keinen Zugriff auf den richtigen Verwaltungsschlüssel hat, wäre in der Lage, neue Schlüssel zu erzeugen und Zertifikate zu überschreiben.  
Ein solcher Angreifer wäre weder in der Lage, vorhandene private Daten auszulesen oder zu extrahieren, noch hätte er Zugang zu kryptografischen Operationen, die normalerweise eine PIN-basierte Authentifizierung erfordern.

Um diese Schwachstelle anzugreifen, wäre physischer Zugang zum Nitrokey 3 oder die Kontrolle über ein Gerät erforderlich, mit dem er verbunden ist.  
Die Schwere der Sicherheitslücke (CVE) wird als moderat eingestuft, da der Verwaltungsschlüssel nur „Schreib“-Operationen auf dem Gerät schützt und alle geschützten Leseoperationen die PIN verwenden, die nicht angreifbar ist.  
Beachten Sie, dass ein Angreifer in dieser Position auch ohne die Sicherheitslücke in der Lage ist, das Gerät werkseitig zurückzusetzen, um seine eigenen Daten zu schreiben, was zu erwarten ist.  
 
Diese Schwachstelle wirkt sich nicht auf Daten in anderen Funktionen des Nitrokey 3 aus. FIDO, Secrets und OpenPGP werden daher nicht aktualisiert.