Czy można używać kluczy YubiKey, które nie pochodzą z oficjalnych źródeł (np. zostały rozdane w konkursie)?
Opublikowano 22.12.2022 08:05
Nie powinno się wkładać urządzeń nieznanego pochodzenia do portu USB.
Dlaczego? Bo istnieją narzędzia w stylu USB Kill, które wyglądają jak pendrive. Ale po włożeniu do komputera potrafią spalić albo sam port USB albo nawet całą płytę główną narażając nas na koszty.
Może to być atak BAD USB. Urządzenie wygląda wtedy jak pendrive ale działa jak klawiatura. Gdy podłączymy go do komputera w kilka sekund symuluje on wciśnięcie zaprogramowanych wcześniej przez atakującego klawiszy. W ten sposób można chociażby pobrać złośliwy program.
Wątek na Hacker News sugeruje, że taki "nieznany" klucz może być specjalnie "osłabiony". Generowane "sekrety" mogą być wtedy słabsze niż nam się wydaje. Lub może w nim być jakaś "tajna furtka".
Dlatego warto sprawdzić oryginalność urządzenia. Jak?
Yubico (producent YubiKey) na swojej stronie umieścił zdjęcia oryginalnych opakowań. Zakładam jednak, że dla zmotywowanego atakującego odtworzenie takich wzorów nie jest zbyt skomplikowane. Co nam zatem pozostaje?
Istnieje specjalna strona YubiKey Verification. Pozwala ona zweryfikować czy klucz rzeczywiście jest oryginalny. Ale, żeby z niej skorzystać musimy włożyć klucz do portu USB. A dokładnie przed tym ostrzegałem przed chwilą ;)
Prawdopodobieństwo, że akurat Twój klucz jest złośliwy jest bardzo niskie.
Nie znalazłem informacji, że ktoś rzeczywiście tworzy na masową skalę fałszywe klucze YubiKey. Jeśli jednak Cię to nie przekonuje i posiadasz klucz w wersji NFC i kompatybilny telefon z NFC - to weryfikację możesz przeprowadzić na smatfonie. Wtedy tylko przykładasz klucz i nie używasz portu USB.