主要观点：发现 Infineon 加密库的漏洞，影响 YubiKey 5 系列、Security Key 系列（固件 5.7.0 及以前）和 YubiHSM 2（固件 2.4.0 及以前），严重程度为中等，攻击者可利用此漏洞恢复受影响的私钥，需物理占有设备等条件，不同产品系列受影响情况不同，给出各产品系列受影响版本及不受影响版本，介绍如何判断是否受影响，包括识别 YubiKey 和 YubiHSM 2 版本的方法，详细阐述各使用场景（FIDO、PIV、OpenPGP、YubiHSM）的受影响情况及缓解措施，提供相关支持文章、研究资料等资源，给出严重程度评级，感谢 NinjaLab 通报，列出事件时间表，解答常见问题（如哪些设备受影响、漏洞是否易利用、是否推荐 FIDO 认证、丢失被盗怎么办、为何不允许固件更新、FIPS 钥匙情况、是否有钥匙更换计划等）。
关键信息：

• 发布日期：2024 - 09 - 03，跟踪 ID：YSA - 2024 - 03，CVE 正在处理，CVSS 严重度 4.9
• 影响产品：YubiKey 5 系列（5.7 以前）、YubiKey 5 FIPS 系列（5.7 以前）等
• 不受影响产品：YubiKey 5 系列 5.7.0 及以后等
• 受影响使用场景及缓解措施：FIDO 认证需注意用户验证因素，可通过缩短会话长度等缓解；PIV 和 OpenPGP 可使用 RSA 或 ed25519 签名密钥，PIV 可使用 RSA 认证证书；YubiHSM 需特定认证密钥，可使用 RSA 认证证书缓解
• 相关资源：支持文章[https://support.yubico.com/hc...]、研究[https://ninjalab.io/eucleak/]
• 事件时间表：2024 年 4 月 19 日 NinjaLab 通报，5 月 21 日 Yubico 发布 YubiKey 5.7，9 月 2 日宣布 YubiHSM 2.4，9 月 3 日发布安全咨询
  重要细节：
• 利用漏洞恢复 ECDSA 私钥需物理占有设备及相关知识和设备
• FIDO 认证可通过身份提供商设置缩短会话长度等增强安全性
• YubiHSM 有多种认证方法，此漏洞不影响基于密码和 YubiHSM Auth 的认证
• 不允许固件更新是为确保密钥固件安全，可阅读相关知识 base 文章了解更多
• 丢失被盗 YubiKey 应及时从应用和服务中注销以减轻风险