手元の Yubikey がRSA秘密鍵漏洩の脆弱性を含むバージョンだったので交換を申し込む
きっかけは TPM 向けチップの脆弱性発覚
ちょいと古い話ですが、Infineon Technologies 社のセキュリティチップにRSA鍵漏洩の脆弱性が見つかっています。
このチップは Windows PC の TPM に使われています。手元の普段の作業用PCの TPM も該当するチップだったのですが、これはアップデートが提供されていたので適用して問題解決です。
しかし、手元のデバイスの中で、他にも本件脆弱性を含むものがありました。それは Yubikey4。
Yubikeyとは何か?
Yubikeyとは何か、という点についてはここら辺の記事が参考になります。 qiita.com
多要素認証のハードウェアトークンだけではなく、RSA鍵の秘密鍵照合用として使えるので、ssh 接続時の鍵を入れておけば鍵を安全に扱える訳ですね。
さて、Yubikey に関する本件情報は下記ポータルページに情報が集約されています。
Infineon RSA Key Generation Issue - Customer Portal
影響を受ける使い方、影響を受けない使い方は?
yubico の情報によると...
- Yubikey NEO は脆弱性を含まない
- FIDO U2F Security key も脆弱性を含まない
- Yubikey 4/4C/4nano バージョン4.2.6 - 4.3.4 で、Yubikey にRSAキーを生成させた場合だけ脆弱性の影響を受ける
ということだそうです。
ただしRSA キーを取扱う場合でも、Yubikey 自体が生成するキーだけ問題がでます。外部のツールで生成した秘密鍵をインポートすれば影響は出ないらしいです。
なぜ影響が出るのか?
Yubikey 4シリーズに内蔵の Infineon Technologies 社のチップで RSA 鍵を生成しているとマズイのだそうです。これは Windows 機向けの TPM の問題と基本的には同じです。
だから外部からインポートしたキーなら Infineon Technlogies 社を使っての生成ではないので問題が緩和される訳ですね。
ユーザ自身でのファームウェア入れ替えには対応していないが、キーは交換してもらえる
Yubikeyはユーザがファームウェアをアップデートできません。だから対象ファームウェアを利用中のユーザでの対策は緩和策での回避だけです。
そして Yubico 側では、こちらのページからYubikeyの交換を受け付けています。 Infineon RSA Key Generation Issue - Customer Portal
まず、このページでは、OTP 生成設定がデフォルトの場合に今回の脆弱性の対象バージョンかどうかを確認できるようになっています。
もしも OTP の設定を変えている場合にも交換対象かどうかの確認方法が用意されています。Yubikey のシリアルナンバーを写真撮影し、その写真とシリアルナンバーの情報をフォームから送信するだけです。
手元の Yubikey が対象品であり、交換を希望する場合はさっさと申し込んでしまうと良いでしょう。
キー交換は、オンラインストアでの100%ディスカウントクーポンによって行われました
実際にキー交換を申し込んでみると、単なる交換ではなく、オンラインストアでの100%ディスカウントクーポンが発行される、というものでした。
そして単なるクーポンではなく、今回の対象品だけに適用されるクーポンでした。そして、このクーポンには送料も含まれます。日本向けの発送でも送料含めて0円で良品が届きました。
手元のものを返送する必要があるかどうか?
ウェブサイトやメールでは返送指示は見当たらなかったので、返送しなくとも良いようです。(このことを保証するわけではありませんが)