Двухфакторная аутентификация при монтировании зашифрованного раздела LUKS с помощью Yubikey 4

[nazarpc]

В случае утери (отсутствия) ключа Yubikey 4 всё ещё остаётся возможность использовать ранее введённую парольную фразу для дешифрования раздела.

Вы меня, конечно, извините, но какая тогда это двухфакторная аутентификация?

[YourChief]

Я так понимаю, пароль к ключу из другого слота.

[nazarpc]

И что это меняет? Суть двухфакторной аутентификации в том, что нужно два фактора. А тут всего один.

[YourChief]

Тот слот, в котором ключ для юбикея, разблокируется только с помощью пароля и самого ключа. Наличие другого слота LUKS опционально: можно точно так же настроить его на запасной юбикей, можно вообще его не иметь и вместо этого для восстановления пользоваться резервной копией мастер-ключа.

[ElderMan]

Точно.

[helgihabr]

Yubikey больше подходит для двухфакторной авторизации почты, чтобы не возиться с телефоном и смс.
Кстати, какой срок службы данного устройства? На сайте устройства быстро не нашел такую информацию.
И в чем отличие от обычной флешки? Ведь можно использовать обычную флешку с защитой от записи, сгенерировать ключ и т.д., что выйдет гораздо дешевле Yubikey.

[YourChief]

В том, что из него нельзя извлечь закрытый ключ. Криптографическая операция производится на самом устройстве.

[invite_ciel]

А это как же они умудряются расшифровывать симметричный шифр без извлечения непосредственно ключа шифрования в память машины?

[YourChief]

Карта содержит только закрытый асимметричный ключ. В распространённых асимметричных криптосистемах, для каждого сеанса или сообщения генерируется «сеансовый» симметричный ключ, который шифруется асимметричным ключом и передаётся вместе с сообщением. Принимающая сторона расшифровывает симметричный ключ, а им — всё сообщение.

[YourChief]

Yubikey больше подходит для двухфакторной авторизации почты, чтобы не возиться с телефоном и смс.

Я использую свой юбикей в режиме U2F и как OpenPGP-смарткарту. Через смарткарту у меня настроен GPG, который является ещё и SSH-агентом и использует ключ RSA для авторизации на серверах, менеджер паролей, E2E-шифрование почты и IM, подпись тэгов в гите и так далее.

[helgihabr]

Понял, спасибо. У нас на проекте внедряют Yubikey для почты, но раз он так крут, буду разбираться как его еще можно использовать. Т.к. у меня до этого было такое впечатление, что утеря Yubikey, как утеря листика с паролем и что любой сможет авторизоваться, например, в почте без пароля.

[saipr]

А что мешает использовать для защиты почты (электронная подпись/шифрование) сертификаты x509, которые хранятся вместе с ключом на токенах/смаркартах PKCS#11 ?
Кстати, можно посмотреть и в сторону облачного токена.

[helgihabr]

Я так понял, что ключи нам эти внедряют для защиты доступа к почте, а не для шифрования самой почты.
Насчет плюсов/минусов других технологий я сказать пока не могу, т.к. то, что этот Yubikey можно будет использовать и для шифрования, для OTP, SSH я вот только сам узнал.

[welcomerooot]

Какой менеджер паролей используете?

[YourChief]

Вот этот: https://www.passwordstore.org. Синхронизирую между разными компьютерами через git.

Присутствует в стандартных репозиториях. Хранит каждый секрет в шифрованном .gpg файле, который при случае может быть расшифрован самим GPG. Имеет CLI-интерфейс, автодополнение, копирование в буфер обмена со стиранием через 45 секунд.

[Tim0n]

А не подскажете менеджер паролей под Windows с полноценной поддержкой Yubikey? Когда-то искал, но безуспешно. То, как реализована поддержка Yubikey в KeePass не устраивает.

[YourChief]

Я не пользовался, но про все популярные менеджеры паролей и их интеграцию с Yubikey написано на странице Yubico: https://www.yubico.com/why-yubico/for-individuals/password-managers/.

Все они используют Yubikey как второй фактор для авторизации. Мне кажется более предпочтительной схема, в которой само хранилище шифруется ключом yubikey.

Для упомянутого выше Pass есть версия для Windows — Pass4Win, но похоже она не развивается. Учитывая, что сам pass устроен довольно просто, то наверное это не является большой проблемой.

Кроме того, существуют мобильные приложения для работы с GPG ключами: OpenKeychain, который может использовать Yubikey по NFC. В дополнение к нему есть Password Store, интегрируемый с OpenKeychain, который как раз так же шифрует пароли заданным GPG-ключом.

[Cheater]

Часть 3 чего? Нет ссылок на предыдущие части.

Думаю нелишним будет упомянуть, что у Yubikey закрытые исходники:
https://github.com/Yubico/ykneo-openpgp/issues/2#issuecomment-218446368

В то время как на рынке есть и open hardware / open source аналоги, например Nitrokey.

[ElderMan]

Часть 3 чего?

Планируется такой порядок:

1. Причины выбора ключа Yubikey как второго фактора. ТТХ — там много интересного.
2. Заказ, оплата, доставка и получение ключа в России.
3. Yubikey & LUKS.
4. Yubikey и авторизация в сервисах Google.
5. Yubikey и PAM модуль авторизации в Linux.
6. Yubikey как смарткарта.

у Yubikey закрытые исходники

Да, это так.
Тем не менее, можно обратить внимание на достаточно большой круг серьёзных компаний, которые, надо полагать, вполне доверяют решениям от Yubico.

Может быть — причина вот в этом:

U2F was created by Google and Yubico, and support from NXP, with the vision to take strong public key crypto to the mass market.

[ElderMan]

В ближайшее время планирую опубликовать 1 и 2 часть.

Да, при ближайшем рассмотрении оказалось, что приобрести ключ в России на тот момент было нельзя. Насколько я понимаю, так обстоит дело и сейчас. Поэтому пришлось искать наименее затратный и наиболее быстрый способ заказа, покупки и доставки ключа из-за границы.