Kettős hitelesítés YUBIKEY és alternatívái

Fórumok

Sziasztok,

segítsétek szeretném kérni, milyen kettős hitelesítést használtok, amihez nem kell speciális alkalmazás. Néztem a ubikey NFC-s változatát az ára 400-as euronál egy picit magas, esetleg van más alternatíva amit valaki használ?
A gondom az, hogy majd 3 hetes életem kalandján voltam és 3-5 nap után szinte minden kizárt :( Mivel úgy érzékelte google, microsoft, stb hogy nem szoktam arra járni ezért kérte a kettős hitelesítést, 400Ft-os SMS díjért :D Ami természetesen nem jött meg.
Ezért NFC hitelesítű kulcsban gondolkozom, ki is néztem ezt yubikey-5-nfc-fips
majd az ára miatt rákerestem az alternatív lehetőségekre:alternatívák
Ti mit használtok amin van NFC lehetőség? 
Nem egy alkalmazás fontos hogy működjön elsődlegesen Linux, android és MS környezetben, esetleg később apple.
Sajnos az Ubikey áfástól mindenestől 35-50e Ft között van mire bejön az országba :(
lélektani határom 20-25e ft, de ha nincs más megoldás akkor megveszem a UBIKEY-t
Egyáltalán kiváltható vele, google és ms auth programja, vagy teljes tévedésben vagyok?

Hozzászólások

Szerkesztve: 2022. 06. 24., p – 10:24

kérte a kettős hitelesítést, 400Ft-os SMS díjért

???

Ezt most úgy érted, hogy egy SMS fogadása 400 forintba kerül neked? Azt hogyan? Vagy neked kellett hitelesíteni magad, egy 0690-es számra küldött SMS-sel? Mert ha utóbbi, akkor téged átvertek. :)

szerk: mondjuk ha az előbbi, akkor is

Költői túlzás volt, 150-369Ft között mozogtak a tarifák, helyi kártyával oldottam meg a netet, de ahhoz először be kellett lépnem egy olyan országba ahol tudtam venni olyan turista sim kártyát, aminek roaming szerződése van a legtöbb környező országgal. Viszont körutamban ez a 3. ország volt.

Google Authenticator vagy hasonlo alkalmazas(ok)?

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

+1

Nekem van YubiKey is, meg több különböző soft Auth Token is.

Ez utóbbihoz csak a telefonod és internet elérés kell - ez manapság szinte mindenkinél adott, emiatt (is) ma ez a leg elterjedtebb és leg egyszerűbb 2. factor szinte bármilyen autentekáció esetében.

 

YubiKey persze egészen más szint, és nem függ a telefonodtól.

De persze ez meg egy igen könnyen elveszíthető kicsi biszb*sz. - és a háttetéhez komolyabb IT támogatás kell.

 

SMS már 10 éve is aggályos volt, szerintem ma már csak azok erőltetik akiknek  nagyon elavult IT rendszerük van.

 

szerintem

A Yubikey 5 NFC sorozatnak szerintem nincs érdemi alternatívája. Tud U2F-et, TOTP-t, GnuPG-t, PIV-t, és még jópár finomságot, gyárilag támogatott szinte mindenhol.

Vannak olcsóbb megoldások, de nem tudok olyat ami ilyen teljeskörű és hasonló minőségű lenne. Szerintem érdemes beruházni 2-3 darab YubiKeyre (hogy legyen backup) kényelemben és biztonságban is megtérül az ára.

bevallom erről a Titánról még nem is hallottam.

Onlykey-t próbáltam, de NFC-t nem tud, és egyéb korlátai is vannak. Nekem az LCD kijelzős tokenek szimpatikusabbak.

Szerkesztve: 2022. 06. 24., p – 19:56

Akkor egyenlore yubikey 5 nfc a nyero. Koszonom mindenkinek, ha van mas otlet irjatok meg batran, a lenyeg fuggetlenedni akarok, google ms soft. auth-tol.

Függetlenedni szeretnél, de azt ne felejtsd el, hogy ennyi pénzért(!) a kulcsok is kompromittálódhatnak, tehát adott esetben egy ilyen hardverrel sem fogsz tudni belépni, mert a G. nem fogja engedi, (vagy a többiek.) - Volt már a Yubinál ingyenes kulcscsere is emiatt.)

Jobb az authentikátor, az legalább feleslegesen nem terheli a pénztárcádat. (A Yubi egyébként munkára éri meg, igazán a szervereket távmenedzselők eszköze. (Ott legalább visszatérül a befektetett pénz.)

azt se felejtsük el, hogy a.) 14-15 év alatt 2 ilyen eset volt, egyiknél elméleti lehetőség nyílt a támadásra a firmware hibája (csak és kizárólóg fips verziónál, 2019) , a másik hibánál a chipgyártó implementációja volt hibás (Infineon, 2017)., de b.) kicserélték a hibás hardver elemet tartalmazó kulcsot (nem kellett újat venni...) c.) NEM tiltott ki senkit a google, tudomásom szerint. Mégis mi alapján tiltana ki??? FUD. Az Infienonos hibánál is az RSA kulcsok voltak hibásak, openpgp-nél.... barormira nem érintett mást. Egyébként google rögtön kitiltotta volna saját magát is. Bár én még opengpgp kulccsal belépni embert még nem láttam. ( https://www.yubico.com/support/security-advisories/ysa-2017-01/). Jah, mert a google a jobb authentikátor helyett yubikeyt használ, csókolom. https://www.yubico.com/resources/reference-customers/google/

Disclaimer: van közöm itthon és a környező országokban a yubikeyhez, de ettől még amit fent leírtam igaz. Mellesleg a fips felesleges és a 35-40e forintos akár bruttó árat sokallom. A FIPS-re mondjuk fene tudja, de a fipset nem szeretik adni, de ha pont ugyanazt szeretnéd pecsét nélkül, szerintem 22e forint alatt megvagy. (csomagküldővel együtt)

szerintem egy kicsit drágán nézted. de reagáltam feljebb a hw hibát író hozzászólásra. direkt reklámot meg nem akarok, de aki keres az talál, szerintem, sokkal olcsóbban a leírt árnál. hivatalosan, ráadásul.

Mindenkinek köszönöm! eldőlt,
Jobban szétnéztem Yubikey oldalán és  találtam magyar disztributort YUBIKEY-re, ott fogom megrendelni így nem kell áfával szállítási költséggel foglalkoznom. Ha jól emlékszem 26e ft lesza type -c csatis.

 

Pont az a lényeg, hogy nem szeretnek fuggeni hosszabb tavon senkitol es nem szeretnen hitelesiteseimet google ms parosra bizni, mivel ha elvesztem a telom meghaltam es jelenleg egyre jobban kizarjak a rootolt telefonokat sot mar a fejlesztoi modra is raszaltak. Legutobb xiaomi adott ki frissitest amely automatikusan visszakapcsolja, ha a gyari karbantartot futtatod. Banki alkalmazasom lassan ket honapja nem indul el, mert tul sok mindenhez akart hozzaferni,telom op rendszere meg beblokkolta a g*cibe. Tudnam torolni korlatozast, de nem vagyok hajlando erik a bankvaltas.(nem iphone)

Kovetkezo telom mar linux lesz 1-2 ev mulva egyre jobb az ubport, az állandó felugyeket es mi tudjuk hogy csinalhatod jobban, megvedunk stb

Kiakaszt. Hagy dontsek mar en! Viszont szukseges a kettos hitelesites, mert mindenhol alap, igy meg van oldva ezert kerestem megbizhato megoldast.

Mondjuk a bank úgyis tényleg mindent lát, ott érdemes tényleg olyanhoz menni, amelyikben megbízol. (A telefon adatok nem osztanak/szoroznak már ott.) Gondolj bele: ha csak nem vagy készpénzes varázsló, látja minden tranzakciódat. Azt is, amiről csak te tudsz...

látja minden tranzakciódat. Azt is, amiről csak te tudsz...

Feltetelezve, hogy a tranzakcio ket fel kozott zajlik, arrol nem csak te, hanem a masik fel is tud, akkor is ha keszpenz :)
(bocs, nem tudtam kihagyni)

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Csak peldanak hoztam fel, mennyire kifordult a vilag magabol. 6-8 eve meg felhivott a bank ejjel fel 3 kor hogy hajnal fel kettokor en voltam e aki a neten fizetett. Orultem a hivasnak es megkoszontem, most meg mar be se tudok lepni az applikacioba, ms google ugyanigy zar ki a vedelmem erdekeben es leszarjak hogy epp neked mennyire lenne szukseges a szolgaltatasuk.

A bankomnal nem fog mukodni, de nem is oda tervezem, hanem mindenhova ahol tamogatjak. Ezert kerestem elterjedt megoldast.

Osszesegeben kerestem megoldast ami nem fugg a ket szolgaltatotol. Mivel ha nem tudsz belepni a gmailedbe outlookba akkor semmihez se fersz hozza amit oda kotottel be.

Mielőtt elolvasod, kalkuláld bele, hogy sok éve használok YubiKey-t és nagyon meg vagyok vele elégedve.

1, A TOTP megoldások szabványosak, nem teszed magad függővé a gyártótól, ez nem lehet érv. Gyakorlatilag ingyen van, ha YubiKey-t választasz az közelebb lehet a lock-in-hez.

TOTP: 0 Ft

2, Ha NFC megoldásra van szükséged U2F/Webauthen-hez hogy könnyebb legyen az élet, szinte kötelező, hogy legyen egy tartalék eszköz. Emellett, ha a szolgáltatás támogatja célszerű egy másik 2nd factor auth, abban az esetben ha mégis elveszítetted volna mindkét kulcsot, vagy meghibásodott az NFC a YubiKey-en (igen jártam így)

YubiKey 5 (NFC): 80-110 EUR (esetedben jelenleg ez akciósan most 43k HUF) !2db!

3, Ha nem akarod csak a U2F/Webauthen részét használni a YubiKey-nek (leírásodból nagyon úgy tűnik, bár így lényegében elveszted az előnyeinek 80%-át) akkor elég a Security Key a YubiCo-tól  (NFC-s A vagy C)

Yubikey Security Key (NFC)  55-65 EUR (esetedben 23-27kHUF csatlakozótípustól függően) !2db!

 

Mindegyik esetben célszerű egy másik feloldási módszer (ahogy már írtam) ha otthagytad valahol a YubiKey-t vagy épp nem tudod valamiért használni. 

 

p.s: Ami történt veled, lehet kellemetlen, de a saját érdekedben tették veled és sokkal rosszabb lenne ha az eset nem fogott volna meg egy lehetséges visszaélést. Szóval ez nem a függésről szól. Az SMS/etc teljesen opcionális x-edik 2ndfactor

Azt hiszem akire válaszoltál kicsit félreérthetően fogalmazott:

A security key tudja a webauth,fido2 és az NFC-t, de nem tud TOTP HOTP stb.

https://yubikey.co.hu/yubikey-kulcsok-osszehasonlito-tablazata-2

Tehát a pontos fogalmazás: ha nem akarsz többet mint webauth, U2F és fido2 NFC akkor......

A security key kb a fele a Yubikey 5 NFCnek.

Szerkesztve: 2022. 06. 28., k – 11:49

Lehet, hogy hülyeség, de ilyet nem lehet relatív egyszerűen csinálni valami 1-2000 Ft-os arduino kompatibilis stick-el? Perszegy munka(/móka, ki hogy áll hozzá).

Most látom, amit @levideo küldött be, bocsi.

A kulcsot tartalmazza a QR kód, amit az elfogadó fél képez.  Így néz ki a QR  tartalma :

otpauth://totp/akarki@gmail.com?secret={kulcs}&issuer=Google&algorithm=sha1&digits=6&period=30

A {kulcs}  -ot  be lehet az Arduino kódba írni, de HEX formában kell. Itt tudod a a {kulcs} -ot HEX -é alakítani : https://cryptii.com/pipes/base32-to-hex

De letárolhatod SD-kártyára is  (SD-kártya kezeló modul) , akkor nem kell fixen a kódba írni sem.

Ha érdekel el tudok küldeni egy minta .ino  fájt ami én használok ..

Hát igen .. Modjuk egy bin fájlból elég nehéz. Én a forráskódba írom be , és lefordítva bin-ként írom fel az egységre.

Csak bedugom az USB aljzatba, felmegyek a google fiókomba pl. , megnyomok rajta egy gombot és a generált 6 számjegyet , mint egy virtuális billentyűzet beírja a mezőbe.  Ha ellpoják is a pendrive-ot , nem tudják a google jelszavamat. Ez az első faktor. 

Szeretném leszögezni, hogy csak kicsit értek jobban ehhez, mint egy átlagos háziasszony, de a gondolataim:

- Sok mikrokontroller zárható. Nem vagyok benne biztos, hogy lehetetlen utána kiolvasni a tartalmát, de annak elég nagy melónak kell lennie.

- Ha valakinek rendelkezésre áll az eszköz, hogy kinyerje belőle a kulcsot, akkor nem biztos, hogy akarja ezt. Mivel tudja használni magát az eszközt.

- Az extra védelem az, hogy ez az eszköz nálam van. Egy random hacker nem fogja használni, aki nincs a helyszínen. Távolról nem fogja tudni kiolvasni a kulcsot, ha az az USB interfészen nem olvasható,
mert csak annyit tud az eszköz, hogy beírja a generált kódot.

Hol látom rosszul ezeket, vagy mi hiányzik?

Jól megfogalmaztad. Köszi. Én is csak néhány hete gerjedtem rá erre a 2FA dologra.

Néhány éve kezdtem el foglalkozni  Arduino/ESP eszközökkel. Közel sem maximum a tudásom.

De szerintem sem (vagy legalább is elég nagy munkával)  oldható meg a beégetett adat megszerzése egy ilyen eszközből. 
 

A {kulcs}  nem titok. Nem az a lényeg. Hiába tudsz generálni akár on-line belépési kódot (https://totp.danhersam.com/), ha nem tudod, hogy hova érvényes az.

Kulcsod van de nem tudod , hogy hol van a zár hozzá . Illetve ahogy a neve is jelzi ez 2-szintes auth. A belépéshez, mondjuk a Google fiókba tudni kall az e-mail címet , a jelszót, és a generált kódot.

Ha és amennyiben a 2. faktor nem titok (hiszen onnantól, hogy a kulcs nem titok, az egyszer hazsnálatos kód sem az!), akkor az mennyivel növeli a usernév/jelszó páros biztonságát? Gyakorlatilag semmivel, mert ha nem titok, azaz bárki hozzáférhet, akkor az user/pw ellopása esetén a nem titok one time password-del lehet próbálkozni.

Plusz egy mobil vagy esetünkben egy PENDRIVE  kell hozzá amin generálsz kulccsal, a usernév  és jelszón kívül. Mondjuk a kulcs ismeretében akár On-Line felületen is tudsz generálni 6 jegyű számot. Van egy néhány a neten  ..

Talán ezzel ..

Az egész TOTP generálás nem egy nagy kaland.

Van két fél.  Az egyik , ahova be akarsz authentikálni és egy másik , aki te vagy.

A kód generálás röviden: Van egy string : ABCDQWERZUIIO5174M  . Van a pillanatnyi időpontból képzett timestamp

Ha mind a két helyen ezzel generálsz egy kódot (van a neten egy csomó ilyen lib minden nyelven), akkor a két kód meg fog egyezni.
Ezért nem kell hozzá internet a generálónak, csak tudnia kall a pontos időt (rtc modul kel az arduinohoz).

Én egy kis CJMCU (AtMega32U4) és egy ZS-04 RTC egységet vettem és Arduino IDE vel megcsináltam a google auth-ot.

Működik szépen ..

Te akarsz kommersz mikrokontrollerrel hardvertokent csinálni, nem én, úgyhogy neked kéne elmélyedni abban, hogy hogyan is kéne működnie az eszköznek, mit, és hogyan kellene védenie. Én láttam jó meg khm. kevésbé jó idő alapú egyszer használatos jelszavakat generáló megoldásokat - nagyon nem triviális az, hogy valóban jó és biztonságos eszközöd legyen.

"nagyon nem triviális az, hogy valóban jó és biztonságos eszközöd legyen" +1

Egyébként az biztos, hogy egy biztonsági dolgot nem jó ötlet házilag tákolni, ha nem hobbi célra használod. Ilyen a "házi" riasztó is, nem csinálnám. 1000 dolgot szívott végig a gyártó, mire minden tapasztalatot összeszedett, mire a megoldása ott tart, ahol éppen tart.

De ismerkedni a megoldásokkal, tanulni tök jó.

Igen, csak a házi megoldásokból az szokott hiányozni, amit már régen feltaláltak. Lehet, hogy aki házi megoldást csinál, nem is tud valamiről, hogy azt hogy lehet nagyon egyszerűen meghackelni, vagy eszébe sem jut valami alap dolog, ami hiányzik a megoldásából. De még a lakástüzet sem tartom kizártnak.

Azt nem hiszem, hogy egy "gyári" riasztót, egy profi nem tud fél perc alatt kikapcsolni. De ott az lenne az optimális, hogy hiába ismeri az eszközt A-Z-ig, akkor sem tehet semmit.

Koszonom mindenkinek megrendeltem yubikey 5 nfc usb a valtozatot mar uton van.

Reggel végigolvasva nagyon nincs miért aggódni.

However, pulling off an attack is not easy. In a theoretical attack scenario described by NinjaLab, the attacker obtains the username and password of an account protected with FIDO authentication. The attacker also gains physical access to the victim’s YubiKey device for a limited time, which they use to physically open up the device in order to gain access to the Infineon security microcontroller chip, and use an oscilloscope to take measurements.

NinjaLab researchers estimate that an attacker needs to have access to the YubiKey device for less than an hour to open it up and conduct the necessary measurements, after which they can quietly give it back to the victim. 

In the second stage of the attack, which no longer requires access to the victim’s YubiKey device, the data captured by the oscilloscope — electromagnetic side-channel signal coming from the chip during cryptographic computations — is used to infer an ECDSA private key that can be used to clone the device. It took NinjaLab 24 hours to complete this phase, but they believe it can be reduced to less than one hour.

Természetesen, ami egyszer márhoz került, az már nyugodtan tekinthető kompromittálódottnak. Csere.

trey @ gépház

Szerkesztve: 2024. 09. 13., p – 10:31

Csak fúrja az oldalamat a kíváncsiság, ezzel a Yubi-val home userként meg lehet(ne)-e oldani a password managerek védelmét, belépést sokfaktorossal a cociális networkökbe (FB, twitter), Gmail meg úgy alapvetően a G fiók, Msft fiók és a többiek?

Írhatna róla valaki egy hosszas blogposztot, mikbe futott bele ilyen fókuszú felhasználási módozatok mellett. Pl. mire abszolut alkalmatlan amiről mélyen hallgat a gyártója? Mi az amit az átlag félreértelmez egy ilyen eszköz megvásárlása előtt, amivel a kézhezvétel után szembesül először (buyers remorse)?

Valós tapasztalatok érdekelnènek elsősorban. A fizetett jutub influenszer review-ok nem érdekelnek, és sajnos előbbiekből van kevés, nehezen megtalálható.

"ezzel a Yubi-val home userként meg lehet(ne)-e oldani a password managerek védelmét, belépést sokfaktorossal a cociális networkökbe (FB, twitter), Gmail meg úgy alapvetően a G fiók, Msft fiók és a többiek?"

Gyakorlatilag ez a fo funkcioja szoval a valasz igen :D 

Nekem mindenhol YubiKey -van beallitva. Google/MS fiok egyeb webes fiokok es Password managerben is.

 

Eddig nekem nem volt semmilyen problemam (sem Windows sem Mac alatt) Linuxrol nem tudok nyilatkozni. Nekem van NFC kepes is. Erdemes legalabb kettot venni es az egyiket elrakni backupnak ha esetleg az elsodlegest elhagyod/ellopjak.

Email titkositasnal is lehet vele autholni ha esetleg azt is akarsz (OpenGPG-t is tamogat)

Csak fúrja az oldalamat a kíváncsiság, ezzel a Yubi-val home userként meg lehet(ne)-e oldani a password managerek védelmét, belépést sokfaktorossal a cociális networkökbe (FB, twitter), Gmail meg úgy alapvetően a G fiók, Msft fiók és a többiek?

Mi használjuk, elsősorban céges use-case-re, de rákötöttem a privát dolgaimat is (a yubikey a sajátom lesz, ha egyszer kilépek). Jelszót nem váltottunk ki vele sehol, de második faktornak be van állítva gitlab/google/facebook (?)/stb helyen. Kényelmesebb, mint a TOPT-tal baszakodni, és ha jól értem, secure-abb is.

(bár sajnos a legtöbb helyen a TOPT megmaradt alternatív 2FA-nak, így a security nem lett erősebb; de a munkahelyen szigorúan webauthn van, kötelezően mindenhol).

De ki tudod próbálni te is, Yubikey nélkül is, ha van egy androidos vagy ios-es készüléked. De talán Macbookok vagy a Windows Hello is tudja, ha van benne biometrikus cuccmucc - és talán-talán linuxra is össze tudod tákolni, hogy egy jelszóval védett, a laptophoz/géphez kötött kulcs legyen, így.

A weben van egy csomó oldal, ahol tudsz játszani azzal, hogy a meglévő eszközöid vajon hogy támogatják. Ez pl egy: https://webauthn.me/

Tapasztalatok:

Nagyon hasznos kis eszköz, pl a keepass is kezeli. Be lehet állítani, hogy a jelszavakat tároló titkos adatbázist ne csak a kézzel beírt jelszóval tudd megnyitni, hanem a yubikey is kelljen hozzá.

Vagy ami tök jó: A TOTP: (time based one time password, amit valószínűleg most is használsz a google authentikátorral pl). Desktopra telepíthető alkalmazása is van, nem csak mobilra tudod feltenni. Az adatokat a kulcson tárolja, így egy fokkal biztonságosabb, mint a sima authentikátor app.

Nagyon kényelmes, hogy a Google-be, facebook-ba úgy lépek be, hogy beírom az email címem, majd a yubikey-re lementett pinkódot, és csak meg kell érinteni a yubikeyt.

Van akinek nagy előny, hogy akár el is hagyható az okos-telefon ebből a szempontból. (aki pl privacy kérdések miatt aggódik, elég pl egy buta telefon)

Én nem bánom hogy vettem. Érdemes kettőt venni, és mindkettőt ugyanúgy felsetupolni. Backup, ha az egyiket elhagyod.

Írhatna róla valaki egy hosszas blogposztot, 

:)

a gyenge lánccszem a user. mint mindig :)

Tényleg, legtöbben nem is értik miért jobb ez, mint egy telefonos app.

 

Nekem van céges és privát is.

A privát az egy régebbi darab, ismerkedés célból vettem, a gakorlatban nem igazán használom. (az elavultsága miatt)

A céges az eny 'nano 5', és 2FA-ként szolgál a céges SSO-ban.

A viccess része, hogy ez csak egy a sok lehetőségből, ahol persze a sok között ott az email is :D szóval valós végelmet nem ad, mert ugye minden rendszer csak annyira biztonségos amennyire a leggyengébb láncszeme.

Még viccesebb szánalmasabb, hogy van hogy a két authentikációt gyakorlatilag ugyan azzal az appal tudom megoldani.

Nesze neked MFA! - de a 'security theater'-ben jól mutat hogy van ilyen is :D

 

Aki valós security előnyt szeretne ezzel, annak:

- ezen kell(ene) generálnia és tárolnia az összes (SSH/GPG/TLS) kulcsait,

- NEM jelszó helyett, hanem mellé MFA-ra való.

- De kizárólag ez kell(ene) legyen a 2. faktor, semmi bugyuta failback.

- duplikálni kell (fizikailag) hogy legyen backup eszköz.

 

szerintem.

Szerkesztve: 2024. 09. 13., p – 12:15

nemide

Szerkesztve: 2024. 10. 06., v – 23:33

Aztán most olvasom, h. yubico-éknál a firmware update mint olyan nem létező fogalom. By design, azért nem! Azaz ha defektes volt a pre-5.7.0 hardvered, akkor kvázi új hardware reviziót kell venned, ami már új szoftverrel (azaz itt a kütyün levő firmware) hagyta el a gyár kapuját. Ami a gyárat 1x már elhagyta, az többé firmware update-t nem lát élete végéig. Se security vulnerability miatt, se fícsör bövülés miatt.

https://support.yubico.com/hc/en-us/articles/360013708760-YubiKey-Firmw…

Ergo tudnod kéne milyen reviziójú / verziójú a hardver amit a bolt árul, mielőtt kifizeted, nehogy apdét előtti régebbi szériásat sózzanak a vevőre (rád)!

Még a security része érthető is lenne, de miből tartott volna egy hardveres kapcsolót rárakni, amivel engedélyezni lehet a firmware frissítést? Mint az a kis pöcök, ami ott van az SD kártyákon. Vagy a ház kinyitása után elérhető SMD gomb, ami a Ruuvi tag-ekben van.

Valószinű nem attól akartak megvédeni, hogy tudtodon kivül frissül a firmware, hanem attól, hogy egy hackelt firmware kerüljön rá.

Azt mondják a gyárban garantálják a fw valódiságát és pont. A user ne töltögessen rá új fw-t, mert onnantól nem garantálják, hogy nem lesz hackelhető az eszköz.

Ha csak az ellen akarnak védekezni, hogy a beszállítói láncban ne nyúljanak bele, akkor elégséges. Mert ha kiszivárog a kulcs, akkor az a már felhasználóknál levő eszközöket nem érinti. Csak azokat, amik még a beszállítói láncban vannak, és azokat be lehet vizsgálni, és lehet vagy új kulcsot rájuk tenni, vagy felülírni a firmware-t a biztonság kedvéért.

Biztos lehet ebben az érvelésben is hibát találni, nem is az a lényeg, hogy tökéletesen megoldjam a problémájukat. Csak azt mondom, hogy elég gáz dolog úgy kiadni egy security eszközt, amiben lehetetlen javítani a security hibákat. Ez még a planned obsolescence-nél is rosszabb.

Nem csak a beszállitói láncban. A usereknél is gond lehet, ha már más is tud aláirt (akár implementációs hiba miatt nem is jó kulccsal aláirt) érvényes fw update-et késziteni.

Továbbra is állitom, van ráció ebben. Ha komoly security gond van, akkor pedig nem javitani kell, hanem cserélni. Amit jó esetben ingyen megtesz a gyártó.

Pontosan. Mennyibe kerul egy yubikey 5, huszonezer forint? Mindezt kis tetelben vammal, afaval, kereskedok arresevel stb. Tobbe kerul az idom, mig a regit szetverem kalapaccsal, es elsetalok a sarki boltba egy ujert.

Ha a gyartotol szerzed be rendes mennyisegben, biztosan megoldhato a csere is. De akkor valoszinuleg megint nem az eszkoz egysegara lesz a bajod, hanem az esetleges biztonsagi kockazat, az uj eszkozok szetosztasa, illetve az adminisztracios koltsegeid, amivel a csere jar.

"aztán a kulcs véletlen kiszivárog" - Hint: HSM. Szóval maximum az implementációs hiba jöhet igazából számításba - a kulcs kiszivárgásához bizony a HSM-ben kell implementációs hibának lenni, _és_ ezt kihasználva az aláírókulcsot valakinek megszerezni.

Ami a másik, hogy a firmware _cseréjéhez_ a firmware-t tartalmazó tárterületnek valamilyen "csillagállás" esetén írhatónak kell lennie, illetve kell egy legalább a firmware méretével megegyező staging terület, amire betöltődhet a potenciális új firmware, _és_ ott az eszköznek egy nem módosítható tárhelyén lévő kód első körben letiltja az írását(!) majd ellenőrzi, és ha rendben van, akkor felülírja vele az éles firmware-t.
Ehhez kell egy feldolgozóegység, ami képes írni a firmware területét, kell egy staging terület, amit USB felől lehet írni, és ez a frissítő egység felügyeli az írhatóságát, stb.

(Házi feladat: átgondolni, hogy miért nem jó egy pécén/külső eszközön elvégzett integritásellenőrzés alapján betolni a friss firmware-t az eszközbe)
 

Hogyne HSM, ami egy api-n keresztül aláir bármit, amit adsz neki... Elég, ha azt az api-t meg tudja hivni a támadó a hackelt fw-el és máris van egy aláirt támadó fw-je, amit az egész világon bármelyik yubi megeszik.

Továbbra sem látom, miért akarnák ezt a kockázatot bevállalni? Mit nyernek vele? Annyival többen vennék a terméküket? Vagy éppen kevesebben?

HSM, igen. Csak épp nem online, hanem offline, azaz bezárva egy jól védett gépterembe, illetve rackszekrénybe, ahova csak meghatározott körnek van bejárása, és az aláírandó firmware-t "sneakernet"-en viszi be, illetve aláírás után ugyanígy hozza ki. HSM-mel lehet jól csinálni igen erős megbízhatóságú aláírást - hsm nélkül meg nem igazán.

"Továbbra sem látom, miért akarnák ezt a kockázatot bevállalni?"

A kockázat (amit fentebb írt módon gyakorlatilag nullához közelire lehet csökkenteni) az egy dolog, a másik a nehezebb része: a hardvert kell úgy kialakítani, hogy saját maga képes legyen a rátöltésre szánt firmware-t megbízhatóan ellenőrizni, és csak és kizárólag a sikeres validálás után élesíteni. Na ez az, amihez az eszközt is át kellene tervezni - nem is kicsit.

 

Erről a netlock "webes" aláirása jut eszembe, ott is HSM-el irják alá az ügyfél nevében, az is egy vicc.

Ha elzárod a nagyontitkos rack szekrénybe, akkor is alá tudja iratni vele egy bad actor a hackelt fw-t, ha hozzáfér.

De lényegre továbbra sem válaszoltál, miért kellene ezt a - szerinted - minimális plusz kockázatot bevállalnia a yubinak? Mit nyerne vele? Több ügyfelet? Vagy kevesebbet?

Mint irod nagyon át kellene tervezni az eszközt, hogy biztonságosan működjön a fw frissités. Ezt mondtam én is. És vissza is kanyarodtunk a MINEK kérdéskörhöz.

"akkor is alá tudja iratni vele egy bad actor a hackelt fw-t, ha hozzáfér"

Az a bad actor most is bele tud kókányolni disznóságot a firmware-be, ha a megfelelő helyen/módon hozzáfér. Az, hogy a release-elt, azaz gyártásba kerülő eszközökre írandó firmware hogyan van védve, azt nem tudjuk - de vélhetően megvan a védelem a "release-re mehet" állapot és a chip-be beírás közötti útvonalon történő mókolás ellen. Lehet, hogy pont azzal, hogy a buildelt firmware kap egy aláírást, és a chipbe író eszköz ezt ellenőrzi.

Nem én írtam, hogy kéne mondjuk aláírt firmware feltöltésére lehetőséget adni - én csak leírtam, hogy mekkora munka lenne ezt megvalósítani - amiben pont nem a firmware aláírása lenne a legnagyobb probléma, hanem az a része a folyamatnak, amikor az aláírt firmware rákerül az eszközre, megtörténik az ellenőrzése, és a korábbi firmware felülírása/tényleges cseréje lezajlik.

Az aláírtan kiadott firmware frissítés plusz munka, minimális előny és hardveres módosítást igényel, úgyhogy én is azt mondom, amit te, hogy ez a gyártónak nagyon nem éri meg, mert jelentősen több ügyfele nem lesz tőle, az eszközökkel szembeni bizalom nem fog relevánsan megnőni - miközben azért bőségesen kellene a dologba pénzt lapátolni.
 

Az hogy van rá szabvány módszer, az egy dolog - a kérdés az, hogy adott eszközben (ami a védett értékekhez képest jellemzően elhanyagolható költség) érdemes-e, gazdaságos-e egy minden szempontból védetten/biztonságosan működő firmware-csere lehetőségét megvalósítani, vagy sem. Ha át kell tervezni a teljes eszközt, újabb komponenseket kell belepakolni, növelve a gyártás bonyolultságát és költségét, miközben az árban ezt nem lehet részben sem érvényesíteni, akkor nem érdemes ebbe invesztálni.

Ez esetben a severity miatt nem cserélik (Ez a hivatalos válasz. Rákérdeztem, annak ellenére, hogy olvastam a saját minősítésüket)

Ha olyan lenne ami súlyosnak minősülne, akkor cserélnék. Nem hiszem, hogy nem lehetne nagy tételben velük vitázni, és egy Alphabet biztosan kapott is valami ellentételezést. Kicsi (<1000 eszköz) tulajok semmi jóra ne számoljanak. 

Nem tudom mennyibe kerül most ,de én annó fido2 key-t vettem, és használom is mai napig is. Az okostelefonról szinte teljesen lejöttem, gyakorlatilag banki app van még rajta meg nagyritkán gps-re veszem csak elő, egyébként a táskában elvan internet tab-ként. És pont azért amit írsz, hogy az okostolefonos app kitettségemet csökkentsem. Ezzel lehet biztonsági és kényelmi okokból nem egyetérteni, de én ezt látom jónak jelenleg. A webes második faktort váltom ki vele, és debianon is megy. (de laptopot nem azzal authentikálok, megtartottam a jelszavas módszert, csak pl. outlook vagy google fiókhoz) Nézd meg, hátha beválik neked is. Én max hobbi okokból kezdenék saját megoldást építeni, mert kész működő megoldások vannak, amik átlag embernek tök elég. Mivel nekem több lépcsős belépnem bejutni mindenhová (a saját laptopom sem triviális) így is magasan túltoltam tudom jól, mert nem vagyok illegális poresz terjesztő ,drogbáró ,tenorista :D  

-42-

Azóta is használom,  email fiokok vedelmere, notebook login kenyelmes. Bar ott mar az ujjlenyomat is jol megy mar. Ami felmerult gond az elmult hónapokban noname android tv-n egy core rendszer frissites utan nem lehet a kulccsal hitelesítési, hasznalhatatlanna valt, uj emailt kellett csinálnom a ket android tvre es/vagy boxra.

Telefonos hitelesito appot nem is hasznalok privatban.