Ein Angreifer kann damit die private Keys wiederherstellen und hätte damit Zugriff auf die Daten.
An attacker could exploit this issue as part of a sophisticated and targeted attack to recover affected private keys. The attacker would need physical possession of the YubiKey, Security Key, or YubiHSM, knowledge of the accounts they want to target, and specialized equipment to perform the necessary attack. Depending on the use case, the attacker may also require additional knowledge including username, PIN, account password, or authentication key. See Affected Use Cases and Mitigations for more details.
Allerdings, die Sache ist offenbar recht theoretisch:
Bevor ihr jetzt alle wegen der Yubikey Geschichte hyperventiliert:
Der Angriffsvektor braucht:
– Den Key
– Den Key kaputt zu machen
– Den Account
– Leute, die echt gut Elektronik zerlegen können
– 11.000 $ EquipmentIm Threat Modelling kommt da am Ende niedrig raus.
https://mastodon.social/@bkastl/113075357486772450