Sicherheitsschlüssel (FIDO, U2F usw.)

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12071

11.09.2023 - 20:43

Ich wuerde uebrigens nicht zwei Keys der selben Produkttype bzw. des selben Herstellers als Primary und als Standby/Backup verwenden - die FIDO-L2-Zertifizierung erfordert es, dass sich ein Token-Modell kryptographisch "ausweisen" kann, was laut FIDO-Guide so zu implementieren ist, dass alle Tokens eines L2-zertifizierten Modells ein identischen Zertifikat/Schluesselpaar ("unextrahierbar") in sich tragen. Also jeder Feitian BioPass FIDO hat (u. a.) ein und das selbe, bitweise identische kryptographische Material, das von einer FIDO-Alliance-CA signiert ist, in sich drin wie jeder andere Feitian BioPass FIDO, und schickt damit punziert/attested Daten raus bei jeder Assertion. Das selbe gilt natuerlich auch fuer alle anderen L2-zertifizierten Geraete (egal on von Yubico oder sonst einem Hersteller) jeweils untereinander auch.

Das bedeutet, dass, sollte mal von einem dieser Devices der private Schluessel der Zertifikats irgendwie in Umlauf (z. B. durch einen Einbruch beim Hersteller, oder wenn es doch jemand schafft, die Schluesselkopie aus einem der Millionen Exemplare zu extrahieren) geraten, damit gerechnet werden muss, dass diese Geraete zumindest ihre L2-Zertifizierung verlieren (indem das Zertifikat fuer Modellserie X bei Dienstanbietern nicht mehr als vertrauenswuerdig eingestuft wird), und die Tokens damit fuer z. B. ID Austria ungueltig und wertlos werden duerften.

Ich plane deswegen einen " gesunden Spread" meiner Keys zwischen Modellserien unterschiedlicher Hersteller.

voyager

kühler versilberer :)

Registered: Nov 2001
Location: Stmk/Austria
Posts: 3757

11.09.2023 - 20:47

Zitat aus einem Post von Viper780
Beim günstigen Security Key die NFC Variante

ahh , also nicht der 5 NFC, sondern der "alte" NFC . das hatte ich falsch verstanden

Dann werd ich mal nen GoTrust holen, müssen ja nicht alles Yubikeys sein bei mir

Und Preislich durchaus auch interessant

https://www.alza.at/gotrust-idem-key-usb-c-d7108703.htm

Elbart

Here to stay

Registered: Dec 2002
Location: Hobbingen
Posts: 844

11.09.2023 - 22:36

Zitat aus einem Post von voyager
ahh , also nicht der 5 NFC, sondern der "alte" NFC . das hatte ich falsch verstanden

Nein.
"Yubico Security Key Series" ist eine andere Modellreihe als "Yubico YubiKey 5 Series" ist eine andere Modellreihe als "Yubico YubiKey 5 FIPS Series".
https://www.yubico.com/at/store/compare/
"Security Key" ist nicht alt, nur fokusiert auf FIDO/WebAuthn-Geschichten.

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12071

11.09.2023 - 22:57

-> https://geizhals.at/?cat=sm_rfid&am...tria+kompatibel

h4de5

-

Registered: Sep 2001
Location: bgld
Posts: 1112

11.09.2023 - 23:09

Zitat aus einem Post von COLOSSUS
-> https://geizhals.at/?cat=sm_rfid&am...tria+kompatibel

!!!
Danke.

voyager

kühler versilberer :)

Registered: Nov 2001
Location: Stmk/Austria
Posts: 3757

12.09.2023 - 06:21

Zitat aus einem Post von Elbart
"Security Key" ist nicht alt, nur fokusiert auf FIDO/WebAuthn-Geschichten

Danke. Ich hatte den aufgrund des Preises immer als "Vorgängerserie" eingestuft gehabt.

COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12071	11.09.2023 - 20:43 Ich wuerde uebrigens nicht zwei Keys der selben Produkttype bzw. des selben Herstellers als Primary und als Standby/Backup verwenden - die FIDO-L2-Zertifizierung erfordert es, dass sich ein Token-Modell kryptographisch "ausweisen" kann, was laut FIDO-Guide so zu implementieren ist, dass alle Tokens eines L2-zertifizierten Modells ein identischen Zertifikat/Schluesselpaar ("unextrahierbar") in sich tragen. Also jeder Feitian BioPass FIDO hat (u. a.) ein und das selbe, bitweise identische kryptographische Material, das von einer FIDO-Alliance-CA signiert ist, in sich drin wie jeder andere Feitian BioPass FIDO, und schickt damit punziert/attested Daten raus bei jeder Assertion. Das selbe gilt natuerlich auch fuer alle anderen L2-zertifizierten Geraete (egal on von Yubico oder sonst einem Hersteller) jeweils untereinander auch. Das bedeutet, dass, sollte mal von einem dieser Devices der private Schluessel der Zertifikats irgendwie in Umlauf (z. B. durch einen Einbruch beim Hersteller, oder wenn es doch jemand schafft, die Schluesselkopie aus einem der Millionen Exemplare zu extrahieren) geraten, damit gerechnet werden muss, dass diese Geraete zumindest ihre L2-Zertifizierung verlieren (indem das Zertifikat fuer Modellserie X bei Dienstanbietern nicht mehr als vertrauenswuerdig eingestuft wird), und die Tokens damit fuer z. B. ID Austria ungueltig und wertlos werden duerften. Ich plane deswegen einen " gesunden Spread" meiner Keys zwischen Modellserien unterschiedlicher Hersteller.
voyager kühler versilberer :) Registered: Nov 2001 Location: Stmk/Austria Posts: 3757	11.09.2023 - 20:47 Zitat aus einem Post von Viper780 Beim günstigen Security Key die NFC Variante ahh , also nicht der 5 NFC, sondern der "alte" NFC . das hatte ich falsch verstanden Dann werd ich mal nen GoTrust holen, müssen ja nicht alles Yubikeys sein bei mir Und Preislich durchaus auch interessant https://www.alza.at/gotrust-idem-key-usb-c-d7108703.htm
Elbart Here to stay Registered: Dec 2002 Location: Hobbingen Posts: 844	11.09.2023 - 22:36 Zitat aus einem Post von voyager ahh , also nicht der 5 NFC, sondern der "alte" NFC . das hatte ich falsch verstanden Nein. "Yubico Security Key Series" ist eine andere Modellreihe als "Yubico YubiKey 5 Series" ist eine andere Modellreihe als "Yubico YubiKey 5 FIPS Series". https://www.yubico.com/at/store/compare/ "Security Key" ist nicht alt, nur fokusiert auf FIDO/WebAuthn-Geschichten.
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12071	11.09.2023 - 22:57 -> https://geizhals.at/?cat=sm_rfid&am...tria+kompatibel
h4de5 - Registered: Sep 2001 Location: bgld Posts: 1112	11.09.2023 - 23:09 Zitat aus einem Post von COLOSSUS -> https://geizhals.at/?cat=sm_rfid&am...tria+kompatibel !!! Danke.
voyager kühler versilberer :) Registered: Nov 2001 Location: Stmk/Austria Posts: 3757	12.09.2023 - 06:21 Zitat aus einem Post von Elbart "Security Key" ist nicht alt, nur fokusiert auf FIDO/WebAuthn-Geschichten Danke. Ich hatte den aufgrund des Preises immer als "Vorgängerserie" eingestuft gehabt.

Sicherheitsschlüssel (FIDO, U2F usw.)

Forum Index > Hardware > Peripherie > Sonstige Peripherie

COLOSSUS

voyager

Elbart

COLOSSUS

h4de5

voyager