Er is een ernstig beveiligingslek gevonden in Nitrokeys, dat direct van invloed is op Dasharo coreboot+Heads. Wij gebruiken de Nitrokey 3A Mini als een USB Security Device om de integriteit van het opstartproces te controleren, in combinatie met de Dasharo coreboot+Heads firmware. Een aanvaller die toegang heeft tot zowel de laptop als het USB-beveiligingsapparaat, kan de firmware manipuleren en de HOTP opnieuw verzegelen door de prompt een willekeurige toetsaanslag te geven, omdat het elke PIN zou accepteren op de HOTP secret sealing.
Oplossing
NovaCustom erkent de urgentie van dit probleem en heeft onmiddellijk actie ondernomen. Hier lees je wat je moet doen om de kwetsbaarheid op je laptop en Nitrokey te verhelpen.
Backup maken
Voordat je doorgaat met een firmware-update, moet je er altijd voor zorgen dat je een back-up hebt gemaakt van alle belangrijke gegevens van zowel je opslagschijf als de Nitrokey.
Werk de firmware van de Nitrokey bij
Hoewel er een Nitrokey firmware-update is gepubliceerd, is onze huidige Heads-versie (v0.9.0) er nog niet compatibel mee. Dit betekent dat de Nitrokey 3A Mini niet kan worden gedetecteerd door Heads als de Nitrokey is bijgewerkt naar de nieuwste firmwareversie.
Wacht met het bijwerken van de Nitrokey-firmware totdat een nieuwe versie van de Heads-firmware is gepubliceerd. Zodra de update voor Heads live is, moet je de firmware van je Nitrokey bijwerken volgens de documentatie voor het bijwerken van de firmware.
Heads bijwerken
Update de firmware van Heads naar de nieuwste versie v0.9.1 met behulp van de Firmware Update-documentatie voor Dasharo coreboot+Heads.
Wessel klein Snakenborg (oprichter van NovaCustom)
Reacties graag alleen in het Engels.