Názor k článku
Chyba v knihovně Infineon ohrožuje soukromé klíče z tokenů YubiKey a dalších zařízení od Michal Kubeček - Stalo se to, ale je to považováno za...

  • 6. 9. 2024 9:59

    Michal Kubeček

    Stalo se to, ale je to považováno za chybu, tj. je nežádoucí, aby to bylo trvale.

    Jenže to ukazuje, že ani slavná certifikace, na které se tolik bazíruje, ve skutečnosti nezaručuje vůbec nic. Navíc nic nebrání tomu, aby certifikace byla vázána na konkrétní verzi firmware (což je i tak) a firmware byl přesto upgradovatelný. Je to jen předsudek, že firmware "vytesaný do kamene" je a priori bezpečnější.

    Navíc se nabízí i další kacířská otázka: co teď vlastně bude? Ztratí teď Yubikey 5 s FW < 5.7.1 certifikaci? Pak se pro velkou část uživatelů stanou bezcennými a pro další bude jejich použitelnost značně omezená, a bude se to týkat i těch, kdo používali výhradně RSA. Nebo zůstane certifikace zachována a budeme si říkat "jo, ten je bezpečný, je na seznamu", a to i tam, kde bude chyba zneužitelná? Ani jedna varianta není moc povzbudivá.