Nitrokeys bieten Investitionssicherheit ohne Infineons Sicherheitslücke

Vor kurzem wurde eine signifikante Sicherheitslücke in Sicherheitschips von Infineon publik. Nitrokeys enthalten keine Chips von Infineon und sind daher von dieser Sicherheitslücke nicht betroffen! Trotzdem birgt dieser Vorfall interessante Lehren für Nitrokey und unsere Kunden. In Kürze: Sicherheitszertifizierungen sind überbewertet und Open Source bietet demgegenüber Vorteile. Nitrokeys bieten dank Firmware-Updates eine hohe Investitionssicherheit. Dazu im Folgenden mehr.

Was ist passiert?

Die betroffenen Chips werden in vielen Chipkarten und Kleinstgeräten wie FIDO Sicherheitsschlüsseln unterschiedlicher Hersteller verwendet. Die Schwachstelle YSA-2024-03 erlaubt es kryptographische Schlüssel aus dem Chip auszulesen und somit die von der Hardware erhoffte Sicherheit gänzlich zu brechen. Es kann z.B. ein digitaler Clone von FIDO Security Keys erzeugt werden und somit letztenendes auf Accounts der Opfer zugegriffen werden. Das vielleicht schlimmste an dieser Sicherheitslücke ist, dass sie mittels Softwareupdate nicht korrigiert werden kann.

NinjaLab unveils a new side-channel vulnerability in the ECDSA implementation of Infineon 9 on any security microcontroller family of the manufacturer. [...] The exploitation of this vulnerability is demonstrated through realistic experiments and we show that an adversary only needs to have access to the device for a few minutes. The offline phase took us about 24 hours; with more engineering work in the attack development, it would take less than one hour. [...] These small timing leakages allow us to extract the ephemeral key and then the secret key.

Welche Auswirkungen hat dieser Angriff?

Im zitierten Artikel wird spekuliert:

The attacks require about $11,000 worth of equipment and a sophisticated understanding of electrical and cryptographic engineering. The difficulty of the attack means it would likely be carried out only by nation-states or other entities with comparable resources and then only in highly targeted scenarios.

In diesem Punkt sind wir anderer Meinung. 11.000 Dollar sind eine so geringe Investition, den jeder ernsthafte Cyberangriff bei weitem übersteigt. Das Wissen um den Angriff ist nun großteils öffentlich und mag trotzdem sehr herausfordernd erscheinen. Jedoch zeigen findige Hacker immer wieder, wie einfach vormals als unmöglich oder schwer geltende Angriffe dann doch auszuführen sind. Wir würden uns nicht wundern wenn auf einer der nächsten CCCongress oder Black Hats eine Vereinfachung dieses Angriffs demonstriert wird.

We estimate that the vulnerability exists for more than 14 years in Infineon top secure chips.

In diesem langen Zeitraum von 14 Jahren wurden vmlt. viele Millionen Chips produziert und in Chipkarten und FIDO Keys ausgeliefert, die nun alle angreifbar sind. Wenn auch die Skalierung bei weitem hinter rein softwarebasierten Angriffen zurück bleibt, ist der potentielle Gewinn durch Angriffe entsprechend riesig, was die Wahrscheinlichkeit von Angriffen erhöht.

Sinnlose Zertifizierungen?

These chips and the vulnerable part of the cryptographic library went through about 80 CC certification evaluations of level AVA VAN 4 (for TPMs) or AVA VAN 5 (for the others) from 2010 to 2024 (and a bit less than 30 certificate maintenances).

Die betroffenen Chips sind nicht irgendwelche Mikrocontroller sondern Sicherheitschips die mit die strengsten existierenden Sicherheitszertifizierungen erhalten haben. Offensichtlich haben auch diese Zertifizierungen nicht vor diesem Entwicklungsfehler geschützt. Sind Sicherheits-Zertifizierungen also sinnlos? Wir denken nicht, dass sie gänzlich sinnlos sind; denn im Rahmen solcher Zertifizierungen müssen Hersteller, je nach Zertifizierungstiefe, banale bis hin zu anspruchsvolle Sicherheitsmechanismen umsetzen und deren korrekte Umsetzung wird geprüft. Jedoch zeigt dieser Vorfall, dass Sicherheitszertifizierungen keine absolute Sicherheit bieten. Zudem ist dies nicht der erste Sicherheitsvorfall dieser Art und häufig genug wurden dilettantische Sicherheitsfehler in zertifizierten Geräten entdeckt. 2019 wurde eine ähnlich gelagerte Sicherheitslücke von FIPS-zertifizierten Dongles veröffentlicht, der ebenfalls nicht per Software-Update korrigiert werden konnte. 2010 wurde bekannt, dass auf FIPS 140-2 Level 2 zertifizierten verschlüsselten USB Speicher von Kingston, SanDisk, Verbatim, MXI und PICO einfach mittels eines Standardpassworts zugegriffen werden kann. Daher halten wir Sicherheits-Zertifizierungen für nice-to-have aber im Allgemeinen für deutlich überbewertet.

Trotzdem haben auch wir für den Nitrokey 3A Mini eine FIDO-Zertifizierung durchgeführt. Ausschlaggebend war der Wunsch unserer Nutzer den Nitrokey in Umgebungen einzusetzen, in denen eine solche Zertifizierung erforderlich ist. Für die Zukunft planen wir weitere Zertifizierungen, aber nur dort wo sie für unsere Kunden wirklich erforderlich sind.

Vorteile von Open Source

Sicherheitszertifizierungen stellen grundsätzlich für Hersteller einen Anreiz (oder Zwang) dar ausreichend sichere Produkte zu entwickeln. Allerdings ist dies nicht die einzige Art einen solchen Anreiz zu schaffen. Anstelle von Sicherheitszertifizierungen setzen wir bei Nitrokey auf Open Source und unabhängige, transparente Sicherheitsaudits. Dies bietet folgende Vorteile:

  • Die Öffentlichkeit hat Zugriff auf den Quelltext und sieht somit jederzeit die Implementierungs-Qualität und etwaige Fehler. Security by Obscurity ist nicht möglich. Ähnlich wie Zertifizierungen stellt dies einen ökonomischen Anreiz dar der für hohe Qualität und Sicherheit sorgt, da andernfalls viele Kunden unsere Produkte nicht kaufen würden.
  • Unnötige Zertifizierungskosten können gespart werden und stattdessen in die Entwicklung einfließen.
  • Die Community kann technisches Feedback, Beiträge und Korrekturen zur Qualitätssteigerung beisteuern.
  • Potentielle Hintertüren, sei es aus Bösartigkeit oder Bequemlichkeit, könnten nicht versteckt werden und sind somit praktisch unmöglich.
  • Theoretisch kann jeder Benutzer die Korrektheit, Qualität und Sicherheit der Implementierung überprüfen.
  • Damit auch technisch-unversierte Benutzer und kleinere Firmen Vertrauen in uns setzen können, bauftragen wir punktuell die Durchführung unabhängiger Sicherheitsaudits. Die Ergebnisberichte veröffentlichen wir grundsätzlich.

Investitionssicherheit durch Firmware-Updates

Kommen wir zurück auf die eigentliche Sicherheitslücke. Dramatisch ist insb. der Umstand, dass betroffene Geräte nicht per Firmware-Update korrigiert werden können. Es können also keine Patches installiert werden die diese Sicherheitslücke beheben. Betroffene Kunden müssen daher hoffen, dass der Hersteller die Geräte kostenlos austauscht (bisher ist davon noch nichts zu lesen). Je schwerwiegender die Sicherheitslücke und je mehr Geräte betroffen sind, desto teurer und damit unwahrscheinlicher wird ein kostenloser Austausch, da es sich manche Hersteller schlicht nicht leisten können. Falls Hersteller doch einen kostenlosen Austausch anbieten, mag das für Privatkunden eine akzeptable Lösung darstellen. Jedoch darf angenommen werden, dass es für Firmen- und Behördenkunden unrealistisch ist innerhalb kurzer Zeit hunderte oder tausende Geräte auszutauschen, weil der organisatorische Aufwand einfach zu groß wäre. So oder so bedeutet ein vollständiger Austausch einer großen Anzahl von Geräten für Organisationen erhebliche Kosten. Daher werden wohl auch noch in vielen Jahren millionen verwundbarer Geräte im Umlauf sein.

Auch bei Nitrokey basiert die Sicherheit auf Mikroprozessoren, die potentiell Sicherheitslücken aufweisen könnten. Insbesondere wird im Nitrokey 3 ein Sicherheitselement von NXP verwendet welches ähnliche Funktionen leistet wie der jetzt betroffene Chip von Infineon. Jedoch basiert unsere Architektur zu einem viel größeren Anteil auf Software und diese kann aktualisiert werden. Durch Firmware-Updates können wir nicht nur viele Fehler nachträglich beheben sondern wir können auch neue Funktionen und Verbesserungen nachträglich einführen. Wenn z.B. ein Standard wie OpenPGP, FIDO2/WebAuthn/Passkeys weiterentwickelt wird, stellen wir dies nachträglich unseren Kunden kostenlos zur Verfügung (FIDO/CTAP 2.2 ist in Entwicklung). Somit bieten Ausgaben für Nitrokeys eine höhere Investitionssicherheit als für Geräte die sich nicht per Firmware-Update nachträglich korrigieren und aktualisieren lassen.

6.9.2024

Comments

Submitted by Anonymous on 11. September 2024 - 21:55
After three years (since the first announcement) the software is still missing important functionality - number of resident keys, only ten - not all announced algorithms supported - number of bugs (in Github) is growing, some can be considered security relevant can you please provide some time frame when the firmware will reach feature completeness (for features announced in 2021)? and an outlook beyond that, e.g. CTAP 2.2 recap 12.08.2024 Nitrokey 3A Mini Receives Official FIDO2 Certification 13.05.2024 Nitrokey 3 Milestone: SE050 Secure Element 10.05.2023 Milestone for Nitrokey 3 Achieved: OpenPGP Card, One-Time Passwords and USB-C Availability! 07.12.2022 Nitrokey 3A is Available; OpenPGP Card and One-Time Passwords as Test Versions 02.03.2021 The New Nitrokey 3 With NFC, USB-C, Rust, Common Criteria EAL 6+
Submitted by meissner on 12. September 2024 - 12:41
We mostly develop according to user requests and needs, as of today not a single user has approached us that they are missing Resident Key Slots - in fact I would struggle to name 10 different services that support Resident Key based logins - but anyways we are currently working on extending this number, to be precise the amount will be dynamic in the future to make the best use of the available space. For the announced algorithms, please feel free to name the one you are missing, we just released a test firmware with support for many more algorithms from brainpool to p512. And the number of bugs in github is usually a good sign, please feel free to point out which one you see as the most critical - then we'll do our best to resolve it - we by ourselves are not aware of any which do really block or reduce security for some use-case. Furthermore CTAP2.2 was actually already implemented by us? Which specific use-case are you referring to, why do you need CTAP2.2, please approach us, because as of today it looks like Nitrokey has the only open-source CTAP2.2 implementation available as of today. But it's not yet included into the firmware as a) the specification hasn't been finalized yet, b) we see nearly no realistic use-cases which require 2.2 as of today.
Submitted by Anonymous on 12. September 2024 - 14:14
Since nowadays passkeys are getting some attention, I expect the number of sites supporting resident-keys/passkeys to increase. Good to hear that you are working on increasing the number of slots. Can you please provide an estimate, when this will become available? I made reference to CTAP2.2 because it was mentioned in the blog post and as an example of something beyond the original announcement. I was not implying that I had a use case for CTAP2.2, just that it would be interesting to know what else is in the pipeline. fido-authenticator #19 is one example that I would consider security relevant. It allows a local attacker to gain access to secrets generated with the hmac-extension even if during the generation of the secret user-presence was requested. In my opinion this gives a false sense of security, "nothing can happen without touching the NK" is no longer true in this case.
Submitted by meissner on 16. September 2024 - 11:34
dynamic passkeys amount: I have some hopes that this will be part of the next test release - so let's make it some weeks + some more weeks for a stable release. I assume you mean nitrokey/fido-authenticator #19 ? Please make sure to comment this issue, if this is important for you - due to finite development time we have to prioritize and we mostly do this based on what our customers want.
Submitted by Anonymous on 29. November 2024 - 13:16

1) Could it be that the reason why your competitor doesn't allow updating firmware is that will allow an attacker to flash their malicious firmware when the key is plugged into computer? Is that a concern? If not: does Nitrokey today not allow that because it checks if the firmware is signed by the company Nitrokey?

2) When would Nitrokey support curve 448 keys for PGP keys? This matters more for those who do not believe curves where NIST had more control.

3) Given there is schism between OpenPGP (=sequoia pgp) and LibrePGP (=gpg), would Nitro support both keys in future?

Submitted by meissner on 2. Dezember 2024 - 12:56

1) Partly their reason is surely reducing the attack surface. But it's also a good way to milk the market, if you are the de-facto monopolist. Cannot tell which has more weight for them, for us the outcome for the user is not acceptable, especially for cases like this article describes, which is afaik not the first time this happens. There are various safety mechanisms in place for Nitrokey's update mechanism. One is signing, but there are others (secure boot alike) mechanisms which not only verify the firmware during flashing, but also during each boot.

2) there no 448 available on the OpenPGPCard on the Nitrokey 3 (yet) - cannot give an ETA

3) We try to not take positions here and currently we also don't have to - generally the OpenPGPCard is mostly independent from these "schism" as all host tools should obey this specification. But I might be wrong or not getting your question entirely - so why are you assuming there might be two different keys in future?

Add new comment

Fill in the blank.