Какой ключ безопасности fido купить?

Yubikey 5 NFC/Nano, PGP mode, SSH через него же, ключ импортирован, более понятного устройства ещё поискать надо.

4.2, суть в невозможности дублирования, имея токен.

+много

Физическим доступом, KVMом, вот этим всем. Откуда у тебя хост с доступом только по SSH?

Ты описываешь флешку с ключом, это вообще не то.

U2F key вообще у бухгалтера не норма, что за вымышленные истории.

В данном контексте речь шла про все токены. И все они предполагают отсутствие возможности вытаскивать ключ. Особо продвинутые позволяют в сертификате указывать возможность экспорта.

Ну и говнокриптопро со своим копированием контейнера, ну так они используют токен, как флешку. И там по идее тоже есть бит запрета на экспорт.

Спасибо за опыт.

Хотел уточнить, там тоже грузится своя либа, реализация pks11, как с рутокеном и прочими токенами? Или оно прямо из коробки работает в линуксе?

Тут то крупные сервисы всё никак не разродятся на u2f, а у тебя уже бухгалтеры бегают с ними.

Обычные usb токены, которые пачками за копейки продаются.

Ты это прям подряд пишешь…

Обычно если у тебя от квартиры стырили ключ,

Не стырили. Дал ключ, провести операции. Забрал ключ, больше не сможет. Отдал ключ - есть доступ. Забрал ключ - нет доступа.

Мне вот будет греть душу знание о потенциальной несложной возможности восстановления доступа, если я протрачу хардварный токен для логина на сайт с бабами.

Это не соответствует самой сути процесса. Хардварный токен, это то, что не копируется и не восстанавливается само собой.

Вместе с тем, никто не запрещает тебе создать сертификат (или ключ), загрузить его в токен, защитить его пином (15 попыток перебора) и одновременно сохранить в сейфе.

Если сломал/потерял ключ - купил новый и повторил процедуру импорта сертификата на токен.

И все они предполагают отсутствие возможности вытаскивать ключ.

Не все, пример был.

В данном контексте речь шла про все токены.

У тебя тема про ключ безопасности fido, теперь ты рассказываешь про бухгалтеров.

Ну и говнокриптопро со своим копированием контейнера, ну так они используют токен, как флешку. И там по идее тоже есть бит запрета на экспорт.

Я говнокриптопро привёл как пример, что никто не будет с флешкой бегать по компании и давать кому-то. Если у сотрудника предполагается доступ к почте, он у него есть.

У тебя же все примеры из разряда «А если вдруг», и после этого ты говоришь о безопасности. С таким подходом, «А если вдруг», можно сразу всем полный доступ ко всему дать.

Ещё раз, если последовательность бит с флешки для аутентификация каждый раз одинаковая, как допустим заранее сгенерированный сертификат - скопировать его можно в любом случаи. Просто сэмитировав ту же последовательность.

Какой при этом где должен стоять бит не совсем понятно, бит на запрет на чтение? С таким битом вообще передача информации невозможна, а для бэкапа разрешение на запись не нужно.

Хороший вопрос, и ответ бы мне знать положено, но не знаю. gnupg2 его «просто видит», все остальное у меня для простоты через него. Глянь зависимости gnupg2 в твоём дистре, значит.

Не стырили. Дал ключ, провести операции. Забрал ключ, больше не сможет. Отдал ключ - есть доступ. Забрал ключ - нет доступа.

Странный у тебя ход мыслей. Воры которые хотят украсть доступ, а не то что за ним. Никому твой токен не всрался, как ты этого понять не можешь. Вставил токен, скопировал\сфоткал корпоративные бумаги, до свиданья.

Но нет, я буду сидеть, на голове волосы выдирать, чего это у меня своего токена нет.

какие бы ты выбрал?

У меня в конторе вход строго по персональной PIV карте (тот же аппаратный ключ). На каждой двери замок с читалкой висит. По этой же карте доступ ко всем ресурсам. Это тебе не пивной ларёк с амбарным замком. Скопировать карту нельзя. Если я её пролюблю, я сразу бегу в саппорт, мне выдают новую карту с новым сертификатом, а старый сертификат аннулируют. У него, кстати , срок годности есть, т.е. его периодически меняют по-любому. Такая карта есть у всех, от уборщиц, до руководства. Так работают нормальные люди.

А обмениваться ключами, как тут правильно заметили выше – это дно.

А, ну собственно, в этом вопрос и был. В gnupg есть свой стандартный pks11 модуль. Раз он подходит, значит это уже очень хорошо.

Насколько я знаю, нет, эмулируется USB-ридер смарт-карт через стандартный USB CCID.

А что мешает трояну подсмотреть пин-код и утащить ключ?

Можно сгенерить ключ в условно доверенной среде, например на старинном одноплатнике типа BBB (предположительно без троянов) с Linux или OBSD на борту и потом импортировать (загрузить) его внутрь Rutoken и вероятно других аппаратных токенов с неизвлекаемыми ключами. Соответственно будет и неизвлекаемый ключ в железке и копия в сейфе, но это только для SSH через PCSCD, а не про U2F/FIDO2.

https://www.amazon.com/Feitian-ePass-NFC-FIDO-Security/dp/B01M1R5LRD

У модели K9B внутри смарткарточный чип + ARM для USB.

В тоже время многие другие FIDO2 токены в т.ч. и некоторые другие модели Feitian сделаны полностью на обычных ARM контроллерах.

Об этом и речь.

Именно так и работают энтерпрайзные решения.

На то, что ты «много+» уже было замечено про Львов Толстых на словах.
Удиви меня, расскажи про свои правильно организованные методики бесперебойного доступа.

Ты описываешь флешку с ключом, это вообще не то.

Ты действительно не понимаешь, что я описываю железный токен с возможностью последующего дублирования при физическом повреждении (неважно как, посредством первоначальной записи ключа или посредством бэкапа), а не то, что ты называешь «флешка с ключом»?

Вместе с тем, никто не запрещает тебе создать сертификат (или ключ), загрузить его в токен, защитить его пином (15 попыток перебора) и одновременно сохранить в сейфе.

Чем это фактически отличается от создания сертификата (или ключа) в самом токене с последующей возможность делать бэкап по пину с (лимитом попыток перебора)?

Если сломал/потерял ключ - купил новый и повторил процедуру импорта сертификата на токен.

И я о том же. Только мне хочется иметь возможность не только импортировать ключи в токен, но еще и создавать ключи в самом токене и потом бэкапить их.

Официальный дилер в РФ:

https://datawaysecurity.ru/tokens_smart_card/tokens_fido/token-epass-fido2-us...

Чтобы было со смарткарточным чипом NXP, не перепутайте модель, правильная: K9B

Все ключи хранятся в специальном защищенном чипе NXP для K9B

Если попросить, то отправляют и физическим лицам.

Удиви меня, расскажи про свои правильно организованные методики бесперебойного доступа.

SSH + физический доступ, SSH + KVM, SSH + виртуальный KVM для VPS, вот это все.

Ты действительно не понимаешь

Нет, ты.

что я описываю железный токен с возможностью последующего дублирования

Ну, то есть, бабушку с МПХ ты описываешь.

железный токен с возможностью последующего дублирования при физическом повреждении (неважно как, посредством первоначальной записи ключа или посредством бэкапа), а не то, что ты называешь «флешка с ключом»?

Какой смысл в твоём «токене», если давать его дублировать? Какие гарантии он тогда даёт сверх тех, что даёт флешка с ключом, зашифрованным на PIN? Клонируй, перебирай, распространяй, вся идея в трубу.

то даёт флешка с ключом, зашифрованным на PIN

На какие такие флешки с ключом тебя постоянно штырит-то?

Клонируй, перебирай, распространяй, вся идея в трубу.

Специалистов по перебору пин кодов от смарт-карт видать издалека. Какой перебор из трёх-пяти стандартных попыток?
У тебя мобила-то есть вообще? Там, говорят, сим-карты установлены. У сим-карт есть пин-код.
Сколько пин-кодов к сим-картам (которые, по сути, те же токены) ты лично подобрал за свою творческую жизнь?

SSH

Поезжай в Крым на самые лечебные в мире курорты на недельку-другую, лишись там ночью трусов с маленьким кармашком, в котором лежит твой очень важный невосстанавливаемый токен и я посмотрю, с какой скоростью ты побежишь бегом в своё нечерноземье, когда надо будет сделать «SSH + физический доступ, SSH + KVM, SSH + виртуальный KVM для VPS, вот это все.»

При наличии тысячи разных способов применения токенов тебя торкнуло в какие-то неведомые флешки с ключами и так и не отпустит никак.

Да ты вообще мозгов не включаешь.

Специалистов по перебору пин кодов от смарт-карт видать издалека. Какой перебор из трёх-пяти стандартных попыток

Ты разрешил его бесконечно дублировать => попыток стало 3×бесконечность.

лишись там ночью трусов с маленьким кармашком, в котором лежит твой очень важный невосстанавливаемый токен и я посмотрю, с какой скоростью ты побежишь бегом в своё нечерноземье

Как будто я бы стал этим пользоваться только с одним токеном. У меня два (недублируемых) токена + оффлайн-бэкап ключа в двух разных странах. В одни трусы оба не кладу.

Да ты вообще

Включи у себя наконец-то режим чтения, а потом уже рассуждай про чужие мозги

Ты разрешил его бесконечно дублировать

Вот ты секурити иксперд. Дальше такого сценария у тебя фантазия не идёт? Добавь хотя-бы пин код для осуществления возможности дублирования. Или мабилу купи и сим карту, проверь как это функционирует в реале.

У меня два (недублируемых) токена + оффлайн-бэкап ключа в двух разных странах.

А, ну т.е. у тебя таки всётаки большой опыт использования именно того, что ты называешь «флешкой с ключом и бесконечным дублированием», раз ты можешь свой ключ продублировать бесконечно по ремоуту из двух разных стран.

В одни трусы оба не кладу.

Ну хоть вторые с собой на курорт берёшь, и то дело, а то хренли, две недели в одних - сто пудов потеряешь и их и токен.

Вот ты секурити иксперд. Дальше такого сценария у тебя фантазия не идёт? Добавь хотя-бы пин код для осуществления возможности дублирования.

Так уже лучше, но все ещё непонятно нафиг так, если можно как в реальности.

А, ну т.е. у тебя таки всётаки большой опыт использования именно того, что ты называешь «флешкой с ключом и бесконечным дублированием», раз ты можешь свой ключ продублировать бесконечно по ремоуту из двух разных стран.

Нет, именно настоящих токенов не-курильщика, которые дублировать нельзя, извлекать ключ нельзя, а вот заливать можно.

https://www.nitrokey.com

Что nitrokey?

No one can copy the keys which are stored on the Nitrokey.

Долго пытался понять, причем тут фидо, в итоге долшло, что кто-то просто для своего продукта взял название, нехорошо.

А как это делать на практике при наличии массы стандартов, разных подходах у разных сервисов и т.д. мало кто представляет.

Два ключа - основной и резервный. Две ключевых пары и два публичных ключа на сервере. Резервный ключ в сейфе или где ты там хочешь его держать.

Ключи для ssh, что с ними генерятся, работают без всякого ключа. Опция ssh-keygen -O residental не работает. Таки нахрен надо такое счастье?

Что, прямо делаешь ykman piv keys generate, экспортируешь публичный ключ и потом можешь соответствующий приватный использовать без токена?

Речь про fido2 u2f Какой то забаженный девайс у них вышел security key. В нём нет piv

А все, эти 4 буквы навечно теперь трупом заняты? Так и надо — умерло, разложилось, забылось, 20 лет, переиспользование.

Интересно. Продает ли кто нибудь в православной?. Странно, что они fido выделили строго в отдельный ключ. Покупать два ключа ради одного fido u2f как то неправильно

Fido жив!

Ну да, этот пока живёт.

Это все равно создает путаницу. Во-первых, фидо не умерло, пока им хотя бы 2 человека на планете пользуются, во-вторых - что, так сложно придумать уникальное название, с которым гугл не выдаст кучу противоречящих другу другу результатов?

на мой взгляд, не запутаешься. Все таки вещи с разных планет.

Загугли «fido».

В твоем посте речь шла о записи секретного ключа, а не о извлечении. В nitrokey Кажись есть возможность ЗАПИСИ существующего секретного ключа.

Секретный ключ можно создать в GNUPG, а потом и вписать в nitrokey. Таким образом можно иметь backup секретного ключа при использовании nitrokey.

https://github.com/Nitrokey/nitrokey-start-firmware/issues/56

https://raymii.org/s/articles/Nitrokey_Start_Getting_started_guide.html

https://sorenpoulsen.com/securing-gnupg-keys-on-a-nitrokey-pro

Альтернатива: https://solokeys.com/

Прошивки у них открыты, значит должны быть патчи для заливки ключей.

Есть. И в yubikey такое есть. И я себе так и сделал. И в комменте, к которому ты, как полагаю отсылаешься, возможность заливки ключа на токен нормального человека подчеркнул отдельно.

Так что повторю вопрос. Что сказать-то хотел?

Продает ли кто нибудь в православной?

Перед покупкой любого крыптодевайса в странах таможенного содружества необходимо смотреть не является ли оно запрещенным:

http://www.eurasiancommission.org/ru/act/trade/catr/nontariff/Pages/ep.new.aspx

Пункты: 2.16, 2.17, 2.19, …

Да, пункт 2.17 тоже надо учитывать, например наличие в изделии микрофона может быть квалифицировано сотрудником ФСБ и судьей как «средство для негласного снятия информации» и никакие жалобы в прокуратуру и прокурорские проверки вам не помогут, - «если есть микрофон значит можно подслушать».

Если " устройство запрещено" это не значит, что вам нельзя его иметь. Перед покупкой запрещенного устройства необходимо написать в местный орган ФСБ заявление о выдачи разрешения на приобретение и использование запрещенного устройства и ФСБ может вам разрешить!

фидо не умерло, пока им хотя бы 2 человека на планете пользуются

Ошибка найдена.

Нет, именно настоящих токенов не-курильщика, которые дублировать нельзя, извлекать ключ нельзя, а вот заливать можно.

Есть. И в yubikey такое есть. И я себе так и сделал. И в комменте, к которому ты, как полагаю отсылаешься, возможность заливки ключа на токен нормального человека подчеркнул отдельно.

Не понял первую цитату.

Слить секретный ключ простым способом нельзя, а залить готовый, на некоторые устройства, можно.

Будем считать, что ты таким замысловатвм образом пришёл со мной согласиться.

И в чем же она заключается?

10% от былого пика это уже труп. 0.0001% рынка это прям трупешник.

рынок-шмынок, пока хотя бы один человек пользуется, и сейчас неважно даже о чем речь, неправильно брать и мешать. Ты просто видимо из тех людей, которым кроме собственного материального блага ничего особенно не интересно, но надеюсь, со временем до тебя дойдет, где и в чем ты не прав.

надеюсь, со временем до тебя дойдет, где и в чем ты не прав.

ну да, не с твоим же стремлением навечно застолбить за трупом 4 буквы что-то не так.

Да, а с людьми, которые не в состоянии придумать новое название, а берут уже использованное. Да и с тобой, судя по самой постановке фразы.