"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

Sicherheitsschlüssel (FIDO, U2F usw.)

Cobase 11.09.2023 - 11:31 7791 20
Posts

COLOSSUS

Administrator
GNUltra
Avatar
Registered: Dec 2000
Location: ~
Posts: 12071
Ich wuerde uebrigens nicht zwei Keys der selben Produkttype bzw. des selben Herstellers als Primary und als Standby/Backup verwenden - die FIDO-L2-Zertifizierung erfordert es, dass sich ein Token-Modell kryptographisch "ausweisen" kann, was laut FIDO-Guide so zu implementieren ist, dass alle Tokens eines L2-zertifizierten Modells ein identischen Zertifikat/Schluesselpaar ("unextrahierbar") in sich tragen. Also jeder Feitian BioPass FIDO hat (u. a.) ein und das selbe, bitweise identische kryptographische Material, das von einer FIDO-Alliance-CA signiert ist, in sich drin wie jeder andere Feitian BioPass FIDO, und schickt damit punziert/attested Daten raus bei jeder Assertion. Das selbe gilt natuerlich auch fuer alle anderen L2-zertifizierten Geraete (egal on von Yubico oder sonst einem Hersteller) jeweils untereinander auch.

Das bedeutet, dass, sollte mal von einem dieser Devices der private Schluessel der Zertifikats irgendwie in Umlauf (z. B. durch einen Einbruch beim Hersteller, oder wenn es doch jemand schafft, die Schluesselkopie aus einem der Millionen Exemplare zu extrahieren) geraten, damit gerechnet werden muss, dass diese Geraete zumindest ihre L2-Zertifizierung verlieren (indem das Zertifikat fuer Modellserie X bei Dienstanbietern nicht mehr als vertrauenswuerdig eingestuft wird), und die Tokens damit fuer z. B. ID Austria ungueltig und wertlos werden duerften.

Ich plane deswegen einen " gesunden Spread" meiner Keys zwischen Modellserien unterschiedlicher Hersteller.

voyager

kühler versilberer :)
Avatar
Registered: Nov 2001
Location: Stmk/Austria
Posts: 3757
Zitat aus einem Post von Viper780
Beim günstigen Security Key die NFC Variante

ahh , also nicht der 5 NFC, sondern der "alte" NFC . das hatte ich falsch verstanden


Dann werd ich mal nen GoTrust holen, müssen ja nicht alles Yubikeys sein bei mir :D Und Preislich durchaus auch interessant

https://www.alza.at/gotrust-idem-key-usb-c-d7108703.htm

Elbart

Here to stay
Registered: Dec 2002
Location: Hobbingen
Posts: 844
Zitat aus einem Post von voyager
ahh , also nicht der 5 NFC, sondern der "alte" NFC . das hatte ich falsch verstanden
Nein.
"Yubico Security Key Series" ist eine andere Modellreihe als "Yubico YubiKey 5 Series" ist eine andere Modellreihe als "Yubico YubiKey 5 FIPS Series".
https://www.yubico.com/at/store/compare/
"Security Key" ist nicht alt, nur fokusiert auf FIDO/WebAuthn-Geschichten.

COLOSSUS

Administrator
GNUltra
Avatar
Registered: Dec 2000
Location: ~
Posts: 12071

h4de5

-
Avatar
Registered: Sep 2001
Location: bgld
Posts: 1112

voyager

kühler versilberer :)
Avatar
Registered: Nov 2001
Location: Stmk/Austria
Posts: 3757
Zitat aus einem Post von Elbart
"Security Key" ist nicht alt, nur fokusiert auf FIDO/WebAuthn-Geschichten

Danke. Ich hatte den aufgrund des Preises immer als "Vorgängerserie" eingestuft gehabt.
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz