Исправление
sanyock,
(текущая версия)
:
Действительно, хотелось бы возможности открытия базы при помощи токена с сертификатом, который бы невозможно/затруднительно было бы продублировать.
https://github.com/keepassx/keepassx/pull/52
работает по их словам примерно так:
This pull request adds support for YubiKey, a USB authentication device commonly used for 2FA. Support is added by configuring a
только мне пока непонятно вот это:
YubiKey slot to operate in HMAC-SHA1 challenge-response mode. The mechanism works by submitting the database master seed as a challenge to the YubiKey which replies with a HMAC-SHA1 cryptographic hash.
дальше понятно:
The resultant hash is then hashed with the other keys (password, keyfile) to generate the final key used to encrypt the database.
из непонятного:
1) Что есть database master seed?
2) Как повторить HMAC-SHA1 если наступил на токен и он рассыпался на мелкие кусочки? Как отличить чужую реплику от своей? Как защитить от подделки?
В идеале с моей точки зрения нужен токен, который позволяет импортировать закрытый ключ(т.е. так работает его внутренний софт, эксплойтов которого нет в хотябы в паблик для быстрого изъятия ключей и возврата железки на место), копии которого существуют в надежном месте, но не позволяет его экспортировать, можно только удалить в токене и заново импортировать при необходимости в него или в новый токен. Нужна зависимость возможности открытия базы СохраниЖ от наличия подключенного токена именно с правильным закрытым ключом.
Исправление
sanyock,
:
Действительно, хотелось бы возможности открытия базы при помощи токена с сертификатом, который бы невозможно/затруднительно было бы продублировать.
https://github.com/keepassx/keepassx/pull/52
работает по их словам примерно так:
This pull request adds support for YubiKey, a USB authentication device commonly used for 2FA. Support is added by configuring a
только мне пока непонятно вот это:
YubiKey slot to operate in HMAC-SHA1 challenge-response mode. The mechanism works by submitting the database master seed as a challenge to the YubiKey which replies with a HMAC-SHA1 cryptographic hash.
дальше понятно:
The resultant hash is then hashed with the other keys (password, keyfile) to generate the final key used to encrypt the database.
из непонятного:
1) Что есть database master seed?
2) Как повторить HMAC-SHA1 если наступил на токен и он рассыпался на мелкие кусочки? Как отличить чужую реплику от своей? Как защитить от подделки?
В идеале с моей точки зрения нужен токен, который позволяет импортировать закрытый ключ, копии которого существуют в надежном месте, но не позволяет его экспортировать, можно только удалить в токене и заново импортировать при необходимости в него или в новый токен. Нужна зависимость возможности открытия базы СохраниЖ от наличия подключенного токена именно с правильным закрытым ключом.
Исправление
sanyock,
:
Действительно, хотелось бы возможности открытия базы при помощи токена с сертификатом, который бы невозможно/затруднительно было бы продублировать.
https://github.com/keepassx/keepassx/pull/52
работает по их словам примерно так:
This pull request adds support for YubiKey, a USB authentication device commonly used for 2FA. Support is added by configuring a
только мне пока непонятно вот это:
YubiKey slot to operate in HMAC-SHA1 challenge-response mode. The mechanism works by submitting the database master seed as a challenge to the YubiKey which replies with a HMAC-SHA1 cryptographic hash.
дальше понятно:
The resultant hash is then hashed with the other keys (password, keyfile) to generate the final key used to encrypt the database.
из непонятного:
1) Что есть database master seed?
2) Как повторить HMAC-SHA1 если наступил на токен и он рассыпался на мелкие кусочки? Как отличить чужую реплику от своей? Как защитить от подделки?
В идеале с моей точки зрения нужен токен, который позволяет импортировать закрытый ключ, копии которого существуют в надежном месте, но не позволяет его экспортировать, можно только удалить в токене и заново импортировать при необходимости в него или в новый токен. Нужна зависимость возможности открытия базы СохраниЖ от наличия токена именно с правильным закрытым ключом.
Исправление
sanyock,
:
Действительно, хотелось бы возможности открытия базы при помощи токена с сертификатом, который бы невозможно/затруднительно было бы продублировать.
https://github.com/keepassx/keepassx/pull/52
работает по их словам примерно так:
This pull request adds support for YubiKey, a USB authentication device commonly used for 2FA. Support is added by configuring a
только мне пока непонятно вот это:
YubiKey slot to operate in HMAC-SHA1 challenge-response mode. The mechanism works by submitting the database master seed as a challenge to the YubiKey which replies with a HMAC-SHA1 cryptographic hash.
дальше понятно:
The resultant hash is then hashed with the other keys (password, keyfile) to generate the final key used to encrypt the database.
из непонятного:
1) Что есть database master seed?
2) Как повторить HMAC-SHA1 если наступил на токен и он рассыпался на мелкие кусочки? Как отличить чужую реплику от своей? Как защитить от подделки?
3) В идеале с моей точки зрения нужен токен, который позволяет импортировать закрытый ключ, копии которого существуют в надежном месте, но не позволяет его экспортировать, можно только удалить в токене и заново импортировать при необходимости в него или в новый токен. Нужна зависимость возможности открытия базы СохраниЖ от наличия токена именно с правильным закрытым ключом.
Исправление
sanyock,
:
Действительно, хотелось бы возможности открытия базы при помощи токена с сертификатом, который бы невозможно/затруднительно было бы продублировать.
https://github.com/keepassx/keepassx/pull/52
работает по их словам примерно так:
This pull request adds support for YubiKey, a USB authentication device commonly used for 2FA. Support is added by configuring a
только мне пока непонятно вот это:
YubiKey slot to operate in HMAC-SHA1 challenge-response mode. The mechanism works by submitting the database master seed as a challenge to the YubiKey which replies with a HMAC-SHA1 cryptographic hash.
дальше понятно:
The resultant hash is then hashed with the other keys (password, keyfile) to generate the final key used to encrypt the database.
из непонятного:
1) Что есть database master seed?
2) Как повторить HMAC-SHA1 если наступил на токен и он рассыпался на мелкие кусочки? Как отличить чужую реплику от своей? Как защитить от подделки?
3) В идеале с моей точки зрения нужен токен, который позволяет импортировать закрытый ключ, копии которого существуют в надежном месте, но не позволяет его экспортировать, можно только удалить в токене и заново импортировать при необходимости в него или в новый токен. Нужна зависимость возможности открытия базы СохраниЖ от наличия токена именно с правильным закрытым ключом.
Исправление
sanyock,
:
Действительно, хотелось бы возможности открытия базы при помощи токена с сертификатом, который бы невозможно/затруднительно было бы продублировать.
https://github.com/keepassx/keepassx/pull/52
работает по их словам примерно так:
This pull request adds support for YubiKey, a USB authentication device commonly used for 2FA. Support is added by configuring a
только мне пока непонятно вот это:
YubiKey slot to operate in HMAC-SHA1 challenge-response mode. The mechanism works by submitting the database master seed as a challenge to the YubiKey which replies with a HMAC-SHA1 cryptographic hash.
дальше понятно:
The resultant hash is then hashed with the other keys (password, keyfile) to generate the final key used to encrypt the database.
из непонятного:
1) Что есть database master seed?
2) Как повторить HMAC-SHA1 если наступил на токен и он рассыпался на мелкие кусочки? Как отличить чужую реплику от своей? Как защитить от подделки?
В идеале с моей точки зрения нужен токен, который позволяет импортировать закрытый ключ, копии которого существуют в надежном месте, но не позволяет его экспортировать, можно только удалить в токене и заново импортировать при необходимости в него или в новый токен. Нужна зависимость возможности открытия базы СохраниЖ от наличия токена именно с правильным закрытым ключом.
Исходная версия
sanyock,
:
Действительно, хотелось бы возможности открытия базы при помощи токена с сертификатом, который бы невозможно/затруднительно было бы продублировать.
https://github.com/keepassx/keepassx/pull/52
работает по их словам примерно так:
This pull request adds support for YubiKey, a USB authentication device commonly used for 2FA. Support is added by configuring a
только мне пока непонятно вот это:
YubiKey slot to operate in HMAC-SHA1 challenge-response mode. The mechanism works by submitting the database master seed as a challenge to the YubiKey which replies with a HMAC-SHA1 cryptographic hash.
дальше понятно:
The resultant hash is then hashed with the other keys (password, keyfile) to generate the final key used to encrypt the database.
из непонятного:
1) Что есть database master seed?
2) Как повторить HMAC-SHA1 если наступил на токен и он рассыпался на мелкие кусочки?