Comments 21
В случае утери (отсутствия) ключа Yubikey 4 всё ещё остаётся возможность использовать ранее введённую парольную фразу для дешифрования раздела.
Вы меня, конечно, извините, но какая тогда это двухфакторная аутентификация?
Я так понимаю, пароль к ключу из другого слота.
И что это меняет? Суть двухфакторной аутентификации в том, что нужно два фактора. А тут всего один.
Yubikey больше подходит для двухфакторной авторизации почты, чтобы не возиться с телефоном и смс.
Кстати, какой срок службы данного устройства? На сайте устройства быстро не нашел такую информацию.
И в чем отличие от обычной флешки? Ведь можно использовать обычную флешку с защитой от записи, сгенерировать ключ и т.д., что выйдет гораздо дешевле Yubikey.
Кстати, какой срок службы данного устройства? На сайте устройства быстро не нашел такую информацию.
И в чем отличие от обычной флешки? Ведь можно использовать обычную флешку с защитой от записи, сгенерировать ключ и т.д., что выйдет гораздо дешевле Yubikey.
В том, что из него нельзя извлечь закрытый ключ. Криптографическая операция производится на самом устройстве.
А это как же они умудряются расшифровывать симметричный шифр без извлечения непосредственно ключа шифрования в память машины?
Карта содержит только закрытый асимметричный ключ. В распространённых асимметричных криптосистемах, для каждого сеанса или сообщения генерируется «сеансовый» симметричный ключ, который шифруется асимметричным ключом и передаётся вместе с сообщением. Принимающая сторона расшифровывает симметричный ключ, а им — всё сообщение.
Yubikey больше подходит для двухфакторной авторизации почты, чтобы не возиться с телефоном и смс.
Я использую свой юбикей в режиме U2F и как OpenPGP-смарткарту. Через смарткарту у меня настроен GPG, который является ещё и SSH-агентом и использует ключ RSA для авторизации на серверах, менеджер паролей, E2E-шифрование почты и IM, подпись тэгов в гите и так далее.
Понял, спасибо. У нас на проекте внедряют Yubikey для почты, но раз он так крут, буду разбираться как его еще можно использовать. Т.к. у меня до этого было такое впечатление, что утеря Yubikey, как утеря листика с паролем и что любой сможет авторизоваться, например, в почте без пароля.
А что мешает использовать для защиты почты (электронная подпись/шифрование) сертификаты x509, которые хранятся вместе с ключом на токенах/смаркартах PKCS#11 ?
Кстати, можно посмотреть и в сторону облачного токена.
Какой менеджер паролей используете?
Вот этот: https://www.passwordstore.org. Синхронизирую между разными компьютерами через git.
Присутствует в стандартных репозиториях. Хранит каждый секрет в шифрованном .gpg файле, который при случае может быть расшифрован самим GPG. Имеет CLI-интерфейс, автодополнение, копирование в буфер обмена со стиранием через 45 секунд.
Присутствует в стандартных репозиториях. Хранит каждый секрет в шифрованном .gpg файле, который при случае может быть расшифрован самим GPG. Имеет CLI-интерфейс, автодополнение, копирование в буфер обмена со стиранием через 45 секунд.
А не подскажете менеджер паролей под Windows с полноценной поддержкой Yubikey? Когда-то искал, но безуспешно. То, как реализована поддержка Yubikey в KeePass не устраивает.
Я не пользовался, но про все популярные менеджеры паролей и их интеграцию с Yubikey написано на странице Yubico: https://www.yubico.com/why-yubico/for-individuals/password-managers/.
Все они используют Yubikey как второй фактор для авторизации. Мне кажется более предпочтительной схема, в которой само хранилище шифруется ключом yubikey.
Для упомянутого выше Pass есть версия для Windows — Pass4Win, но похоже она не развивается. Учитывая, что сам pass устроен довольно просто, то наверное это не является большой проблемой.
Кроме того, существуют мобильные приложения для работы с GPG ключами: OpenKeychain, который может использовать Yubikey по NFC. В дополнение к нему есть Password Store, интегрируемый с OpenKeychain, который как раз так же шифрует пароли заданным GPG-ключом.
Все они используют Yubikey как второй фактор для авторизации. Мне кажется более предпочтительной схема, в которой само хранилище шифруется ключом yubikey.
Для упомянутого выше Pass есть версия для Windows — Pass4Win, но похоже она не развивается. Учитывая, что сам pass устроен довольно просто, то наверное это не является большой проблемой.
Кроме того, существуют мобильные приложения для работы с GPG ключами: OpenKeychain, который может использовать Yubikey по NFC. В дополнение к нему есть Password Store, интегрируемый с OpenKeychain, который как раз так же шифрует пароли заданным GPG-ключом.
Часть 3 чего? Нет ссылок на предыдущие части.
Думаю нелишним будет упомянуть, что у Yubikey закрытые исходники:
https://github.com/Yubico/ykneo-openpgp/issues/2#issuecomment-218446368
В то время как на рынке есть и open hardware / open source аналоги, например Nitrokey.
Думаю нелишним будет упомянуть, что у Yubikey закрытые исходники:
https://github.com/Yubico/ykneo-openpgp/issues/2#issuecomment-218446368
В то время как на рынке есть и open hardware / open source аналоги, например Nitrokey.
Часть 3 чего?
Планируется такой порядок:
- Причины выбора ключа Yubikey как второго фактора. ТТХ — там много интересного.
- Заказ, оплата, доставка и получение ключа в России.
- Yubikey & LUKS.
- Yubikey и авторизация в сервисах Google.
- Yubikey и PAM модуль авторизации в Linux.
- Yubikey как смарткарта.
у Yubikey закрытые исходники
Да, это так.
Тем не менее, можно обратить внимание на достаточно большой круг серьёзных компаний, которые, надо полагать, вполне доверяют решениям от Yubico.
Может быть — причина вот в этом:
U2F was created by Google and Yubico, and support from NXP, with the vision to take strong public key crypto to the mass market.
UFO just landed and posted this here
В ближайшее время планирую опубликовать 1 и 2 часть.
Да, при ближайшем рассмотрении оказалось, что приобрести ключ в России на тот момент было нельзя. Насколько я понимаю, так обстоит дело и сейчас. Поэтому пришлось искать наименее затратный и наиболее быстрый способ заказа, покупки и доставки ключа из-за границы.
Да, при ближайшем рассмотрении оказалось, что приобрести ключ в России на тот момент было нельзя. Насколько я понимаю, так обстоит дело и сейчас. Поэтому пришлось искать наименее затратный и наиболее быстрый способ заказа, покупки и доставки ключа из-за границы.
Sign up to leave a comment.
Двухфакторная аутентификация при монтировании зашифрованного раздела LUKS с помощью Yubikey 4