Comments 21
В случае утери (отсутствия) ключа Yubikey 4 всё ещё остаётся возможность использовать ранее введённую парольную фразу для дешифрования раздела.
Вы меня, конечно, извините, но какая тогда это двухфакторная аутентификация?
+1
Я так понимаю, пароль к ключу из другого слота.
0
И что это меняет? Суть двухфакторной аутентификации в том, что нужно два фактора. А тут всего один.
0
Yubikey больше подходит для двухфакторной авторизации почты, чтобы не возиться с телефоном и смс.
Кстати, какой срок службы данного устройства? На сайте устройства быстро не нашел такую информацию.
И в чем отличие от обычной флешки? Ведь можно использовать обычную флешку с защитой от записи, сгенерировать ключ и т.д., что выйдет гораздо дешевле Yubikey.
Кстати, какой срок службы данного устройства? На сайте устройства быстро не нашел такую информацию.
И в чем отличие от обычной флешки? Ведь можно использовать обычную флешку с защитой от записи, сгенерировать ключ и т.д., что выйдет гораздо дешевле Yubikey.
0
В том, что из него нельзя извлечь закрытый ключ. Криптографическая операция производится на самом устройстве.
0
А это как же они умудряются расшифровывать симметричный шифр без извлечения непосредственно ключа шифрования в память машины?
0
Карта содержит только закрытый асимметричный ключ. В распространённых асимметричных криптосистемах, для каждого сеанса или сообщения генерируется «сеансовый» симметричный ключ, который шифруется асимметричным ключом и передаётся вместе с сообщением. Принимающая сторона расшифровывает симметричный ключ, а им — всё сообщение.
0
Yubikey больше подходит для двухфакторной авторизации почты, чтобы не возиться с телефоном и смс.
Я использую свой юбикей в режиме U2F и как OpenPGP-смарткарту. Через смарткарту у меня настроен GPG, который является ещё и SSH-агентом и использует ключ RSA для авторизации на серверах, менеджер паролей, E2E-шифрование почты и IM, подпись тэгов в гите и так далее.
0
Понял, спасибо. У нас на проекте внедряют Yubikey для почты, но раз он так крут, буду разбираться как его еще можно использовать. Т.к. у меня до этого было такое впечатление, что утеря Yubikey, как утеря листика с паролем и что любой сможет авторизоваться, например, в почте без пароля.
0
А что мешает использовать для защиты почты (электронная подпись/шифрование) сертификаты x509, которые хранятся вместе с ключом на токенах/смаркартах PKCS#11 ?
Кстати, можно посмотреть и в сторону облачного токена.
0
Какой менеджер паролей используете?
0
Вот этот: https://www.passwordstore.org. Синхронизирую между разными компьютерами через git.
Присутствует в стандартных репозиториях. Хранит каждый секрет в шифрованном .gpg файле, который при случае может быть расшифрован самим GPG. Имеет CLI-интерфейс, автодополнение, копирование в буфер обмена со стиранием через 45 секунд.
Присутствует в стандартных репозиториях. Хранит каждый секрет в шифрованном .gpg файле, который при случае может быть расшифрован самим GPG. Имеет CLI-интерфейс, автодополнение, копирование в буфер обмена со стиранием через 45 секунд.
0
А не подскажете менеджер паролей под Windows с полноценной поддержкой Yubikey? Когда-то искал, но безуспешно. То, как реализована поддержка Yubikey в KeePass не устраивает.
0
Я не пользовался, но про все популярные менеджеры паролей и их интеграцию с Yubikey написано на странице Yubico: https://www.yubico.com/why-yubico/for-individuals/password-managers/.
Все они используют Yubikey как второй фактор для авторизации. Мне кажется более предпочтительной схема, в которой само хранилище шифруется ключом yubikey.
Для упомянутого выше Pass есть версия для Windows — Pass4Win, но похоже она не развивается. Учитывая, что сам pass устроен довольно просто, то наверное это не является большой проблемой.
Кроме того, существуют мобильные приложения для работы с GPG ключами: OpenKeychain, который может использовать Yubikey по NFC. В дополнение к нему есть Password Store, интегрируемый с OpenKeychain, который как раз так же шифрует пароли заданным GPG-ключом.
Все они используют Yubikey как второй фактор для авторизации. Мне кажется более предпочтительной схема, в которой само хранилище шифруется ключом yubikey.
Для упомянутого выше Pass есть версия для Windows — Pass4Win, но похоже она не развивается. Учитывая, что сам pass устроен довольно просто, то наверное это не является большой проблемой.
Кроме того, существуют мобильные приложения для работы с GPG ключами: OpenKeychain, который может использовать Yubikey по NFC. В дополнение к нему есть Password Store, интегрируемый с OpenKeychain, который как раз так же шифрует пароли заданным GPG-ключом.
0
Часть 3 чего? Нет ссылок на предыдущие части.
Думаю нелишним будет упомянуть, что у Yubikey закрытые исходники:
https://github.com/Yubico/ykneo-openpgp/issues/2#issuecomment-218446368
В то время как на рынке есть и open hardware / open source аналоги, например Nitrokey.
Думаю нелишним будет упомянуть, что у Yubikey закрытые исходники:
https://github.com/Yubico/ykneo-openpgp/issues/2#issuecomment-218446368
В то время как на рынке есть и open hardware / open source аналоги, например Nitrokey.
+1
Часть 3 чего?
Планируется такой порядок:
- Причины выбора ключа Yubikey как второго фактора. ТТХ — там много интересного.
- Заказ, оплата, доставка и получение ключа в России.
- Yubikey & LUKS.
- Yubikey и авторизация в сервисах Google.
- Yubikey и PAM модуль авторизации в Linux.
- Yubikey как смарткарта.
у Yubikey закрытые исходники
Да, это так.
Тем не менее, можно обратить внимание на достаточно большой круг серьёзных компаний, которые, надо полагать, вполне доверяют решениям от Yubico.
Может быть — причина вот в этом:
U2F was created by Google and Yubico, and support from NXP, with the vision to take strong public key crypto to the mass market.
0
UFO just landed and posted this here
В ближайшее время планирую опубликовать 1 и 2 часть.
Да, при ближайшем рассмотрении оказалось, что приобрести ключ в России на тот момент было нельзя. Насколько я понимаю, так обстоит дело и сейчас. Поэтому пришлось искать наименее затратный и наиболее быстрый способ заказа, покупки и доставки ключа из-за границы.
Да, при ближайшем рассмотрении оказалось, что приобрести ключ в России на тот момент было нельзя. Насколько я понимаю, так обстоит дело и сейчас. Поэтому пришлось искать наименее затратный и наиболее быстрый способ заказа, покупки и доставки ключа из-за границы.
0
Sign up to leave a comment.
Двухфакторная аутентификация при монтировании зашифрованного раздела LUKS с помощью Yubikey 4