2024-09-05 10:41:20作者：姚立伟

近日，安全专家托马斯·罗什（Thomas Roche）发现了一项新的安全漏洞，并成功设计出EUCLEAK侧信道攻击。这项攻击可以克隆YubiKey FIDO密钥。

根据报告，这一漏洞存在于使用英飞凌SLE78安全微控制器的FIDO设备（例如Yubico的YubiKey 5系列）中。利用EM提取椭圆曲线数字签名算法(ECDSA)密钥，进而克隆FIDO设备。该攻击方式相对复杂，需要攻击者具备深度了解电子学和密码学的能力，并借助专业设备。

受此影响的设备包括：5.7之前的YubiKey 5系列版本、5.7之前的YubiKey 5 FIPS系列、5.7之前的YubiKey 5 CSPN系列、5.7.2之前的YubiKey Bio系列版本以及所有在5.7之前版本的Security Key系列等。同时，2.4.0之前的YubiHSM 2版本以及在2.4.0之前的所有YubiHSM 2 FIPS版本也受到了此次事件的影响。

值得注意的是，这次发现的漏洞只会影响到运行固件版本早于5.7.0的YubiKey 5系列设备。而这些设备使用了英飞凌存在缺陷的加密库。