🧐托马斯·罗什发现EUCLEAK漏洞，可通过侧信道攻击利用EM提取ECDSA密钥，进而克隆FIDO设备，此攻击方式复杂，需攻击者深度了解电子学和密码学，并借助专业设备。

😱该漏洞影响运行固件版本早于5.7.0的YubiKey5系列设备，包括YubiKey5系列、YubiKey5 FIPS系列、YubiKey5 CSPN系列、YubiKey Bio系列、SecurityKey系列，以及2.4.0之前的YubiHSM2和YubiHSM2 FIPS版本。

⚠️受影响设备的固件使用英飞凌有缺陷的加密库，存在安全风险，相关用户需注意。

IT之家 9 月 5 日消息，来自 NinjaLab 的托马斯・罗什（Thomas Roche）报告新安全漏洞，并设计了 EUCLEAK 侧信道攻击，可以克隆 YubiKey FIDO 密钥。

罗什在使用英飞凌（Infineon） SLE78 安全微控制器的 FIDO 设备（如 Yubico 的 YubiKey 5 系列）中发现了该 EUCLEAK 漏洞，通过侧信道攻击利用 EM 提取椭圆曲线数字签名算法（ECDSA）密钥，从而克隆 FIDO 设备。

罗什坦言这种攻击方式比较复杂，需要攻击者深度了解电子学和密码学，并需要借助专业设备。

该漏洞影响运行固件版本早于 5.7.0 的 YubiKey 5 系列设备，该固件使用英飞凌有缺陷的加密库，IT之家附上受 EUCLEAK 影响的设备如下：

5.7 之前的 YubiKey 5 系列版本

5.7 之前的 YubiKey 5 FIPS 系列

5.7 之前的 YubiKey 5 CSPN 系列

5.7.2 之前的 YubiKey Bio 系列版本

5.7 之前版本的所有 Security Key 系列

2.4.0 之前的 YubiHSM 2 版本

2.4.0 之前的 YubiHSM 2 FIPS 版本