# 취약한 펌웨어를 가진 구형 재고를 여전히 판매하는 YubiKey

> Clean Markdown view of GeekNews topic #17723. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=17723](https://news.hada.io/topic?id=17723)
- GeekNews Markdown: [https://news.hada.io/topic/17723.md](https://news.hada.io/topic/17723.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2024-11-12T19:33:15+09:00
- Updated: 2024-11-12T19:33:15+09:00
- Original source: [news.ycombinator.com](https://news.ycombinator.com/item?id=42110901)
- Points: 2
- Comments: 1

## Topic Body

- YubiKey가 여전히 EUCLEAK 공격에 취약한 펌웨어를 가진 구형 재고를 판매하고 있음이 보고됨
- Fefe's Blog의 한 독자가 이를 보고함

## Comments



### Comment 31188

- Author: neo
- Created: 2024-11-12T19:33:16+09:00
- Points: 1

###### [Hacker News 의견](https://news.ycombinator.com/item?id=42110901) 
- YubiKey의 취약점 발표를 놓쳤으나, 개인의 위협 모델에는 큰 영향을 주지 않음
  - 공격자가 YubiKey를 물리적으로 소유하고, 타겟 계정에 대한 지식과 전문 장비가 필요함
  - 사용자 이름, PIN, 계정 비밀번호, 인증 키 등의 추가 정보가 필요할 수 있음

- Yubico가 취약한 키를 폐기하지 않고 판매하고 있다는 지적이 있음
  - 새로운 펌웨어가 있는 키는 우선적으로 기관 및 "우선 고객"에게 공급됨

- 고객이 Yubico를 신뢰할 수 있는지에 대한 의문이 제기됨
  - 제조사가 고객 보호를 위해 노력해야 한다는 기대가 있음
  - 취약한 키를 판매하는 것은 신뢰 위반으로 간주됨

- YubiKey를 분실하면 데이터가 손상될 수 있음
  - 14년 동안 발견되지 않은 취약점이 존재함
  - YubiKey를 분해하지 않고도 비밀을 추출할 수 있는 방법이 있음

- Yubico가 키를 판매하는 이유는 펌웨어 버전을 명확히 표시하는 것이 비용이 많이 들기 때문임
  - 경쟁자가 등장할 기회로 보임
  - Nitrokey가 좋은 대안으로 제시됨

- 보안 토큰을 구매할 때, 오픈 펌웨어와 하드웨어를 가진 제품을 선호함
  - 독립적으로 검사된 제품을 원함
  - 펌웨어를 로드하고 업데이트할 수 있는 기능이 있으면 좋음

- Nitrokey를 추천함
  - 소프트웨어가 GitHub에 공개되어 있음

- 구형 YubiKey를 할인된 가격에 구매할 의향이 있음
  - 개인의 위협 모델에서는 도난된 키에 대한 저항이 크게 필요하지 않음

- 고객이 보안 토큰을 선택하는 최종 단계에 있었음
  - YubiKey는 더 이상 옵션이 아님
  - 결함 처리 방식에 실망함

- Yubico의 키 구매 시 수동 공격적인 판매 이메일을 받을 수 있음