Pull to refresh

Comments 21

В случае утери (отсутствия) ключа Yubikey 4 всё ещё остаётся возможность использовать ранее введённую парольную фразу для дешифрования раздела.

Вы меня, конечно, извините, но какая тогда это двухфакторная аутентификация?

Я так понимаю, пароль к ключу из другого слота.

И что это меняет? Суть двухфакторной аутентификации в том, что нужно два фактора. А тут всего один.

Тот слот, в котором ключ для юбикея, разблокируется только с помощью пароля и самого ключа. Наличие другого слота LUKS опционально: можно точно так же настроить его на запасной юбикей, можно вообще его не иметь и вместо этого для восстановления пользоваться резервной копией мастер-ключа.
Yubikey больше подходит для двухфакторной авторизации почты, чтобы не возиться с телефоном и смс.
Кстати, какой срок службы данного устройства? На сайте устройства быстро не нашел такую информацию.
И в чем отличие от обычной флешки? Ведь можно использовать обычную флешку с защитой от записи, сгенерировать ключ и т.д., что выйдет гораздо дешевле Yubikey.
В том, что из него нельзя извлечь закрытый ключ. Криптографическая операция производится на самом устройстве.

А это как же они умудряются расшифровывать симметричный шифр без извлечения непосредственно ключа шифрования в память машины?

Карта содержит только закрытый асимметричный ключ. В распространённых асимметричных криптосистемах, для каждого сеанса или сообщения генерируется «сеансовый» симметричный ключ, который шифруется асимметричным ключом и передаётся вместе с сообщением. Принимающая сторона расшифровывает симметричный ключ, а им — всё сообщение.
Yubikey больше подходит для двухфакторной авторизации почты, чтобы не возиться с телефоном и смс.


Я использую свой юбикей в режиме U2F и как OpenPGP-смарткарту. Через смарткарту у меня настроен GPG, который является ещё и SSH-агентом и использует ключ RSA для авторизации на серверах, менеджер паролей, E2E-шифрование почты и IM, подпись тэгов в гите и так далее.

Понял, спасибо. У нас на проекте внедряют Yubikey для почты, но раз он так крут, буду разбираться как его еще можно использовать. Т.к. у меня до этого было такое впечатление, что утеря Yubikey, как утеря листика с паролем и что любой сможет авторизоваться, например, в почте без пароля.
Я так понял, что ключи нам эти внедряют для защиты доступа к почте, а не для шифрования самой почты.
Насчет плюсов/минусов других технологий я сказать пока не могу, т.к. то, что этот Yubikey можно будет использовать и для шифрования, для OTP, SSH я вот только сам узнал.
Какой менеджер паролей используете?
Вот этот: https://www.passwordstore.org. Синхронизирую между разными компьютерами через git.

Присутствует в стандартных репозиториях. Хранит каждый секрет в шифрованном .gpg файле, который при случае может быть расшифрован самим GPG. Имеет CLI-интерфейс, автодополнение, копирование в буфер обмена со стиранием через 45 секунд.
А не подскажете менеджер паролей под Windows с полноценной поддержкой Yubikey? Когда-то искал, но безуспешно. То, как реализована поддержка Yubikey в KeePass не устраивает.
Я не пользовался, но про все популярные менеджеры паролей и их интеграцию с Yubikey написано на странице Yubico: https://www.yubico.com/why-yubico/for-individuals/password-managers/.

Все они используют Yubikey как второй фактор для авторизации. Мне кажется более предпочтительной схема, в которой само хранилище шифруется ключом yubikey.

Для упомянутого выше Pass есть версия для Windows — Pass4Win, но похоже она не развивается. Учитывая, что сам pass устроен довольно просто, то наверное это не является большой проблемой.

Кроме того, существуют мобильные приложения для работы с GPG ключами: OpenKeychain, который может использовать Yubikey по NFC. В дополнение к нему есть Password Store, интегрируемый с OpenKeychain, который как раз так же шифрует пароли заданным GPG-ключом.
Часть 3 чего? Нет ссылок на предыдущие части.

Думаю нелишним будет упомянуть, что у Yubikey закрытые исходники:
https://github.com/Yubico/ykneo-openpgp/issues/2#issuecomment-218446368

В то время как на рынке есть и open hardware / open source аналоги, например Nitrokey.
Часть 3 чего?


Планируется такой порядок:

  1. Причины выбора ключа Yubikey как второго фактора. ТТХ — там много интересного.
  2. Заказ, оплата, доставка и получение ключа в России.
  3. Yubikey & LUKS.
  4. Yubikey и авторизация в сервисах Google.
  5. Yubikey и PAM модуль авторизации в Linux.
  6. Yubikey как смарткарта.


у Yubikey закрытые исходники


Да, это так.
Тем не менее, можно обратить внимание на достаточно большой круг серьёзных компаний, которые, надо полагать, вполне доверяют решениям от Yubico.

Может быть — причина вот в этом:
U2F was created by Google and Yubico, and support from NXP, with the vision to take strong public key crypto to the mass market.

UFO just landed and posted this here
В ближайшее время планирую опубликовать 1 и 2 часть.

Да, при ближайшем рассмотрении оказалось, что приобрести ключ в России на тот момент было нельзя. Насколько я понимаю, так обстоит дело и сейчас. Поэтому пришлось искать наименее затратный и наиболее быстрый способ заказа, покупки и доставки ключа из-за границы.
Sign up to leave a comment.

Articles