"2 byte pseudo random szám" ...háát
Az a "háát" mire vonatkozik? A szabályozatlan oszcillátor által előállított pseudo random számokra, amik entrópia növelés miatt kerülnek a 16 byte-os titkosítatlan csomagba? Jobb lenne statikus adatokkal kitölteni azt a 8 byte-ot, ami marad a 16 byte-os blokkból (ugye az AES128-nak ekkora a blokkmérete)?
"To prevent such a race-for-the-last-key attack..." Annyit ír le, hogy abban az esetben, ha egyszerre több bejelentkezési próbálkozás is jön (gyakorlatilag replay attack van épp) akkor mindkét próbálkozótónak küld még 3 challenge-et (gondolom különbözőket, de erre nem tér ki), hogy eldöntse, kinél van az OTP generátor valójában. Nincs túl nagy jelentősége a dolognak, mert az a legritkább, hogy ha valaki hozzáfér a kommunikációs csatornához, akkor nem tudja módosítani azt (ez pedig csak ez ellen az eset ellen véd, hiszen mindkét bejelentkezési kérés eljutott a fogadóig - a valóságban sokkal gyakoribb, hogy az eredeti feladó adatfolyama eltérítésre kerül), másrészt ez módszer bármilyen OTP rendszeren alkalmazható: nyomd meg 5x a yubikey-ed egy text editorban, vagy írd fel a GA következő 5 számát. Az egyik próbálkozó küldje el ebből mondjuk a másodikat meg az ötödiket, a másik meg a negyediket meg az ötödiket.
"ui: Nem azt mondom, hogy rossz a yubi, csak érdemes ismerni a hátrányait (arm, usb stack stb?). A többi termék sem garantáltan jobb..."
Úgy érzem nem volt még yubikey a kezedben. A yubikeyt billentyűzetként ismeri fel az oprendszer, szóval amelyik arm-es cuccra lehet billentyűzetet kötni (akár azért, mert van USB host adaptere, akár azért, mert OTG kábelen keresztül lehet USB-s billentyűzetet rákötni) azon működni fog. Nem kell semmit telepíteni és nincs driver probléma, egészen addig, amíg valamilyen latin billentyűzet beállítás van a gépen. Nekem androidos telefon + OTG kábellel működik. Usb stack szempontjából pont annyira biztonságos, mint bármelyik olyan token, aminek az eredményét a végén a billentyűzeten pötyögöd be, hiszen az usb csatitól "felfele" kutya közönséges 101 gombos billentyűzetnek látszik.