Sicherheitslücke beim YubiKey NEO / 2-Faktor-Logins bei mailbox.org nicht betroffen [Update]
Nutzer von mailbox.org können sich über YubiKeys mittels Einmalpasswörter (OTP) einen sicheren, überall nutzbaren passwortfreien Login verschaffen. Einige Modelle des YubiKeys, der sogenannte „YubiKey NEO“ bietet zusätzlich die Möglichkeit, den privaten PGP-Schlüssel auf dem Key zu speichern. Dafür greift YubiKey u.a. auf eine öffentlich verfügbare PGP-Implementierung zurück, die auf dem Stick enthalten ist.
Eine Sicherheitslücke in eben dieser PGP-Implementierung kann es nun unbefugten Dritten ermöglichen, den eigentlich durch einen PIN-Code geschützten PGP-Key vom YubiKey auslesen zu können — ohne, dass es der Eingabe des richtigen PIN-Codes bedarf. Das Problem ist als Artikel im Heise Ticker, bzw. im Detail als technisches Security Advisory bei Yubico nachlesbar.
Sicherheitsproblem betrifft nicht One Time Passwords!
Die Nutzung von One Time Passwords zur Anmeldung bei mailbox.org und anderen Diensten ist von diesem Problem nicht betroffen. Betroffen sind nur Nutzer, die den YubiKey NEO nutzen, um ihren PGP-Schlüssel darauf zu speichern.
Betroffen sind nur bestimmte Firmwareversionen bis einschließlich 1.0.9. Wir prüfen, ob und in welchem Umfang diese über uns verkauft wurden. Bei mailbox.org erworbene und von diesem Problem betroffene YubiKey NEOs werden wir kostenfrei gegen aktuelle Versionen umtauschen, falls ein Software-Upgrade des vorhandenen Keys nicht möglich sein sollte.
Update 27.4.: Umtausch und betroffene Sticks
Wir haben die Situation nun klären können. Prinzipiell sind alle YubiKey NEO-Sticks betroffen, die bis Stand 27. April 2015 (=heute) verkauft wurden. Es ist darum — anders als teilweise in den Foren beschrieben — recht überflüssig zu testen, welche Softwareversion Ihr bisheriger NEO tatsächlich hat. Wir erhalten die nächsten Tage die neuen Sticks mit aktualisierter PGP-Software.
Andere Sticks als die „NEO“-Reihe sind per se nicht betroffen, denn diese haben keinen PGP-Keystore.
Betroffen ist bei NEO-Sticks NUR die darauf enthaltene Möglichkeit, PGP-Keys zu speichern. Viele Nutzer haben den YubiKey NEO nur erworben, um die NFC-Fähigkeit des Sticks im Zusammenspiel mit One Time Passwords auf Mobiltelefonen nutzen zu wollen; nur wenige nutzen den Stick tatsächlich als Keystore. Wer keinen Wert auf den PGP-Keystore legt, kann auf einen Umtausch des Sticks auch verzichten.
Wenn Sie Ihren NEO umtauschen wollen, gehen Sie bitte wie folgt vor:
- Bestellen Sie bei uns einen neuen YubiKey NEO im mailbox.org Office. Diesen müssen Sie zunächst über Ihr Prepaid-Guthaben bei uns bezahlen und Ihr Guthaben ggf. etwas aufstocken.
- Sobald wir die neuen Sticks haben, senden wir Ihnen den neuen Stick zu.
- Senden Sie uns dann den alten bisherigen Stick zurück an mailbox.org, vergessen Sie dabei nicht Ihren Accountnamen bei uns anzugeben. Sobald wir den alten Stick zurückbekommen, schreiben wir Ihnen den vollen Betrag für den NEO wieder gut.
Dieses Guthaben verbleibt als Prepaid-Guthaben in Ihrem Kundenkonto und kann für die Bezahlung des mailbox.org-Accounts genutzt werden. Uns ist klar, dass der Gegenwert eines Yubikey Neos für rund 5 Jahre mailbox.org reichen wird, aber anders ist das Procedere nicht praktikabel zu bewerkstelligen. Sollten Sie jemals mailbox.org kündigen wollen bekommen Sie Restguthaben von uns erstattet.
Gerne nehmen wir schon jetzt Ihre Umtauschbestellungen entgegen, auch wenn die neuen Sticks erst in ca. 2-3 Wochen verfügbar sein werden. Sie helfen uns damit, die benötigte Menge von Ersatzsticks besser abzuschätzen, wofür wir Ihnen natürlich dankbar sind.
Wir bieten den kostenfreien Umtausch bis zum 30. Juni 2015. Bitte beachten Sie diese Deadline.