Portál AbcLinuxu, 22. říjen 2017 08:44

Yubikey. Co to je a co to umí (1)

29. 4. 2016 | Bystroushaak
Články - Yubikey. Co to je a co to umí (1)  

Koupil jsem si Yubikey 4. V tomto textu se dozvíte, co mě k tomu vedlo, kolik to stálo, jak Yubikey zprovoznit na Linuxu a co všechno umí.

Co je Yubikey?

Yubikey je „kryptografický token“, který vyrábí a prodává firma Yubico za $40, tedy přibližně 1 000 Kč.

Multimédia Multimédia

Fyzicky je to destička podobná flashdisku. Z jedné stany se dá zasunout do USB portu, „nahoře“ je pak kapacitní tlačítko, na které když přiložíte prst, provede se „akce“.

Multimédia Multimédia

Akce může být různá – podle toho, jak si zrovna naprogramujete interní mikročip. Pokud mikročip nenaprogramujete nijak, dojde po přiložení prstu k přepnutí do režimu emulace klávesnice a Yubikey emuluje vstup od uživatele, jako kdyby uživatel napsal dlouhou sekvenci čísel následovanou klávesou ENTER.

Ukázka několika výstupů:

Sekvence se minimálně z poloviny zdají na první pohled docela náhodné.

K čemu?

Jak už napovídá název „kryptografický token“, za celou myšlenkou je něco víc, než jen idea destičky, která po stisknutí tlačítka vysype 44 náhodných znaků.

Sekvence je generována na základě AES klíče, který je v Yubikey uložený od výrobce. Tím vzniká takzvaný „OTP“ (One Time Password, jednorázové heslo). Tímto heslem je možné vnějšímu světu dokázat, že bylo zadáno z konkrétního zařízení Yubikey.

Představte si, že se vám někdo nahackuje do počítače. Možná využije bezpečnostní chybu vašeho operačního systému, možná přibalí trojan, či backdoor k nějakému softwaru, který jste si v dobré víře stáhli.

Ačkoliv si většina lidí myslí, že se nic takového stát nemůže, děje se to na každodenní bázi v naprosto masovém měřítku. Sám sebe považuji za docela dobře obeznámeného s bezpečností, přesto nedokáži vyloučit, zda u mě v počítači není vzdáleně připojený někdo jiný, kdo vidí a odposlouchává úplně všechno, co dělám. Naopak! Pokud chci být opravdu paranoidní, nezbývá mi než předpokládat přesně takovou situaci.

Vycházejme tedy z předpokladu, že v počítači mám Velkého bratra, který mě sleduje. Může vidět všechno, co vidím na obrazovce, může číst všechno, co zadám na klávesnici.

Děsivá myšlenka z hlediska soukromí, ještě děsivější z hlediska moci, kterou to potenciálnímu útočníkovi dává. Jak jednou odposlechne moje hesla, má přístup všude, kde mám přístup já. Nejhorší na tom je, že se o tom ani nedozvím, protože vše vypadá naprosto legitimně, dokud mi nezačnou mizet peníze z účtu.

Jak můžu zabránit tomu, aby se za mě nějaký hacker vydával? Aby mi ukradl peníze z banky, aby rozšifroval mé soubory zašifrované pomocí GPG, aby používal můj elektronický podpis, přihlašoval se do datových schránek a SSH účtů, kam mám přístup?

Je třeba vyžadovat nějakou fyzickou akci, kterou by vzdálený útočník provést nemohl. Typické bývá například ověření SMS kódu. Zde ovšem narážíme na problém dnešních mobilních operačních systémů, které jsou stejně děravé, jako ty desktopové. Útočník, který získá přístup k mobilu, potom může rovnou nakazit při připojení kabelem i počítač a jsme tam, kde jsme byli.

Dále je zde problém, že pro aplikace provozované lokálně (třeba GPG) žádné ověření přes SMS nepomůže, protože útočník může upravovat přímo tyto aplikace a namluvit jim, že vše proběhlo v pořádku.

Přesně z tohoto důvodu vznikly kryptografické tokeny.

Výhody kryptografických tokenů

V čem jsou lepší než běžný mobilní telefon?

Když se nad tím zamyslíte, mobilní telefon slouží v případě dvoufaktorové autentizace pouze jako zobrazovací zařízení. Stejně tak by místo něj mohla být tiskárna. Všichni prostě jen spoléhají, že útočník nebude mít kontrolu nad druhým kanálem, přes který k vám jdou informace. Co když ji ale mít bude? Jak potom tento problém řešit?

Řešení je přejít ze zobrazovacího a přepisovacího protokolu na protokol ověřovací. Asymetrická kryptografie umožnila podepisování a autorizaci informací, a tedy i prakticky dokonalé ověření vaší identity. Ideální by bylo, kdyby v počítači vůbec žádná hesla nebyla a místo toho jste přímo svým mozkem vyslali podepsaná data, která prokáží, že se jedná o váš úmysl.

Bohužel, lidský mozek nemá pro tento druh operací vhodný software, ani komunikační rozhraní. Proto je zde kompromis v podobě kryptografických tokenů.

Yubikey je možné používat během přihlašování například k vašemu účtu u Google, do GitHubu, na Dropbox a do dalších služeb, které nabízí podporu U2F. Také je možné s ním podepisovat vaše commity do gitu, přihlašovat se do počítače, či šifrovat celý disk.

OTP

Základní konfigurace Yubikey vypíše po stisknutí tlačítka OTP řetězec, který vypadá třeba jako „ccccccevcliiefbugfvtrnfcgtivgnjvigfrtguvhndc“, což je v podstatě mix řetězce představujícího mou identitu, sériového čísla a náhodných dat. To vše šifrované klíčem uchovaným přímo v tokenu.

Na stránce https://demo.yubico.com/?tab=one-factor si můžete nechat zobrazit informace, které tento řetězec obsahuje:

Parameters
tab=one-factor
mode=one-factor
key=ccccccevcliiefbugfvtrnfcgtivgnjvigfrtguvhndc
identity=ccccccevclii
serial=4131447

Authentication Output
h=RQA2TMYt/laxbS5IfLkdkuAb6iQ=
t=2016-01-09T08:18:34Z0728
otp=ccccccevcliiefbugfvtrnfcgtivgnjvigfrtguvhndc
nonce=d319ee52926009b913a4374540cb3a1c
sl=25
status=OK

Jak je vidět, aplikace z řetězce pozná mojí identitu (ccccccevclii), sériové číslo mého tokenu (4131447) a dokáže ověřit, že se skutečně jedná o řetězec podepsaný mým zařízením.

Kdyby útočník řetězec „ccccccevcliiefbugfvtrnfcgtivgnjvigfrtguvhndc“ zachytil a zkusil použít znovu, aplikace už by mu vypsala:

Authentication Output
h=5ICD3jN565O5COyOewPXmeZsTw4=
t=2016-01-09T08:19:28Z0942
otp=ccccccevcliiefbugfvtrnfcgtivgnjvigfrtguvhndc
nonce=d6500339e08441ce6067b216f6530535
status=REPLAYED_OTP

Číslo požadavku totiž bylo zopakováno a jak už napovídá název OTP, jedná se jen o jednorázové heslo, které nejde použít dvakrát za sebou. Docíleno toho je uchováváním si sekvenčního čísla posledního zadaného OTP tokenu, které se jen zvyšuje.

To také znamená, že pokud vygeneruji dva klíče…

  1. ccccccevcliikuvrnhvbvivugdtelijvkkljclgvrrjt
  2. ccccccevcliibhudjjugrlnhgjinbdbilcelgiehbtuf

…a prvně použiji klíč číslo 2…

Authentication Output
h=SPi0r8WryySFG8t1pzk7JemYtQo=
t=2016-01-09T08:28:36Z0713
otp=ccccccevcliibhudjjugrlnhgjinbdbilcelgiehbtuf
nonce=de8303154196076226d0b8df3163f2ba
sl=25
status=OK

…nepůjde už použít klíč číslo 1, i když ten nikdy předtím použit nebyl…

Authentication Output
h=lRPA7F9Qeuej7GXKKul1KVsdKZk=
t=2016-01-09T08:30:08Z0206
otp=ccccccevcliikuvrnhvbvivugdtelijvkkljclgvrrjt
nonce=cc14659b33eca3ba1e8678bedeea27a2
status=REPLAYED_OTP

Z toho plyne, že pro použití OTP si aplikace musí uchovávat sekvenční číslo požadavku. To vytváří dvě omezení:

  1. OTP je tak možné používat pouze na vzdálené služby, kde se dá předpokládat, že útočník nemá přístup k jejich databázi. Pokud by mohl databázi modifikovat, mohl by také libovolně znovu používat starší klíče.
  2. Všechny služby, ke kterým chceme takto přistupovat, musí používat stejné autentizační API s jednotnou databází (tu poskytuje Yubico jako YubiCloud). Pokud by služby používaly různé vlastní databáze OTP, mohl by útočník použít zachycené OTP z jedné služby ke službě jiné, pokud se do ní uživatel zatím ještě nepřihlásil.

OpenPGP

Ačkoliv OTP může pokrýt spoustu vektorů útoků na krádeže hesla webových aplikací, jeho využitelnost s programy na lokálním počítači je velmi malá. Proto Yubikey podporuje implementaci protokolu OpenPGP, při které je privátní PGP klíč uchováván přímo v Yubikey a nikdy ho neopouští.

Připojení v Linuxu

Ukázka výstupu z dmesg:

[167115.834357] usb 3-12: new full-speed USB device number 24 using xhci_hcd
[167115.851712] usb 3-12: New USB device found, idVendor=1050, idProduct=0407
[167115.851714] usb 3-12: New USB device strings: Mfr=1, Product=2, SerialNumber=0
[167115.851715] usb 3-12: Product: Yubikey 4 OTP+U2F+CCID
[167115.851716] usb 3-12: Manufacturer: Yubico
[167115.851806] usb 3-12: ep 0x81 - rounding interval to 64 microframes, ep desc says 80 microframes
[167115.852759] input: Yubico Yubikey 4 OTP+U2F+CCID as /devices/pci0000:00/0000:00:14.0/usb3/3-12/3-12:1.0/input/input86
[167115.852860] hid-generic 0003:1050:0407.0009: input,hidraw1: USB HID v1.10 Keyboard [Yubico Yubikey 4 OTP+U2F+CCID] on usb-0000:00:14.0-12/input0

Výstup z lsusb:

Bus 003 Device 025: ID 1050:0407 Yubico.com

Instalace v distribuci Linux Mint

sudo add-apt-repository ppa:yubico/stable
sudo aptitude update
sudo aptitude install gnupg2 yubikey-personalization-gui yubikey-personalization yubikey-neo-manager libccid scdaemon libccid pcscd libpcsclite1 libpcsclite-dev libpcsc-perl pcsc-tools
sudo service pcscd start

Nutno dodat, že skutečně je potřeba přidat PPA; balíky sice jsou v distribuci, ale staré a nový Yubikey 4 nevidí, za což může stará verze libyubikey0.

Poté přepneme Yubikey do OTP/CCID módu:

$ ykpersonalize -m82

Poté upravíme pravidla udev:

Stáhneme a zkontrolujeme soubor https://raw.githubusercontent.com/Yubico/yubikey-neo-manager/master/resources/linux-fix-ccid-udev (webarchive). Poté ho spustíme:

$ sudo python linux-fix-ccid-udev.txt
[sudo] password for bystrousak: 
Updating /etc/libccid_Info.plist...
Adding: Yubico Yubikey NEO U2F+CCID
Adding: Yubico Yubikey NEO OTP+U2F+CCID
Adding: Yubico Yubikey 4 CCID
Adding: Yubico Yubikey 4 OTP+CCID
Adding: Yubico Yubikey 4 U2F+CCID
Adding: Yubico Yubikey 4 OTP+U2F+CCID
Restarting PCSCD...
pcscd: unrecognized service
Adding Udev rule for U2F...
Done!

Po zadání „pcsc_scan -n“ by se mělo zobrazit něco jako:

PC/SC device scanner
V 1.4.22 (c) 2001-2011, Ludovic Rousseau <ludovic.rousseau@free.fr>
Compiled with PC/SC lite version: 1.8.10
Using reader plug'n play mechanism
Scanning present readers...
0: Yubico Yubikey 4 OTP+CCID 00 00

Mon Jan 11 10:09:52 2016
Reader 0: Yubico Yubikey 4 OTP+CCID 00 00
  Card state: Card inserted, 
  ATR: 3B F8 13 00 00 81 31 FE 15 59 75 62 69 6B 65 79 34 D4

V GPG je bug, který brání korektnímu spojení s kartou, proto GPG resetujeme:

$ killall gpg-agent
$ eval $(gpg-agent --daemon --enable-ssh-support > /tmp/gpg-agent.env);
$ . /tmp/gpg-agent.env

Nyní by již gpg2 měl kartu vidět:

$ gpg2 --card-status
Application ID ...: D2760001240102010006041314470000
Version ..........: 2.1
Manufacturer .....: unknown
Serial number ....: 04131447
Name of cardholder: [není nastaven]
Language prefs ...: [není nastaven]
Sex ..............: neuvedeno
URL of public key : [není nastaven]
Login data .......: [není nastaven]
Signature PIN ....: není vyžadováno
Key attributes ...: 2048R 2048R 2048R
Max. PIN lengths .: 127 127 127
PIN retry counter : 3 0 3
Signature counter : 0
Signature key ....: [none]
Encryption key....: [none]
Authentication key: [none]
General key info..: [none]

Nyní je dobré poznamenat, že váš základní PIN je „123456“ a admin PIN (PIN správce, nebo také PUK) je „12345678“.

Pokračování návodu v další části.

Další články z této rubriky

Linuxové foto novinky: pozvolná evoluce
PCLinuxOS 2017.2 MATE - tak trochu zvláštní linuxová distribuce
Krátký pohled na Fedoru 25, Wayland a GNOME 3.22
Naprosto ničím nezajímavé Lubuntu 16.10
Calligra Suite - Dobrá alternativa k LibreOffice

Diskuse k tomuto článku

Bystroushaak avatar 29.4.2016 17:20 Bystroushaak | skóre: 32 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Odpovědět | Sbalit | Link | Blokovat | Admin
Ten obrázek s klíčenkou je špatně vložený, má tam být na konci keys.jpg a je tam kyes.jpg.
http://www.abclinuxu.cz/images/clanky/bystroushaak/29.4.2016/kyes.jpg
The operating system: should there be one?
29.4.2016 18:42 pavele
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Jen pár poznámek:

- "Rozběhat" OpenPGP + Yubiko není až tak jednoduché, postup se liší podle druhu linuxové distribuce.

- Emulace klávesnice - při nastavení Yubikey, aby generoval při stisku tlačítka mnou uložené heslo, závisí výstup na rozložení klávesnice (například en, cs a další)

- OTP ověřování probíhá přes Yubiko server = třetí stranu.

- OpenPGP + Yubiko má v některých distribucích linuxu problém s Gnome klíčenkou.

- V některých distribucích linuxu je potřeba přidat soubor do udev, jinak je Yubiko detekován pouze pod uživatelem root.

- Pro použití ve Windows pro přihlašování přes Yubiko -> OpenPGP -> OpenSSH je potřeba pouze OpenSSH klient (například PuTTY) a paegant upravený pro OpenPGP. Takže můžu přijít k jakémukoliv PC s Windows a pro přihlášení přes OpenSSH mi stačí dvě binárky, které mám na flešce nebo na netu, a Yubiko klíč.

Jendа avatar 29.4.2016 18:44 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Emulace klávesnice - při nastavení Yubikey, aby generoval při stisku tlačítka mnou uložené heslo, závisí výstup na rozložení klávesnice (například en, cs a další)
Tohle mě štvalo tak, až jsem systému řekl, aby přijímal obě varianty hesla (s numlockem a bez něj). I u bezpečného kryptografického ověřování by šlo prostě těch pár možností zkusit.
Bystroushaak avatar 29.4.2016 18:49 Bystroushaak | skóre: 32 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
- V některých distribucích linuxu je potřeba přidat soubor do udev, jinak je Yubiko detekován pouze pod uživatelem root.
Imho ve všech. Řešeno je to v dalším díle (nevím přesně tedy v kterém a kolik jich ještě bude, původně to byl 40kB dlouhý článek, který redakce rozkrájela na víc menších podle jejich uvážení).
29.4.2016 19:07 pavele
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Uvítal bych v některém díle něco o HSM.
29.4.2016 20:06 R
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
V Linuxe sa da priradit konkretnej klavesnici rozlozenie klaves, takze by stacilo nastavit Yubikey na "us".
29.4.2016 18:06 Sid
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Odpovědět | Sbalit | Link | Blokovat | Admin
Tento serial prichadza v pravy cas:-), zrovna som si tiez jeden kupil tak si usetrim cas straveny hladanim.
Jendа avatar 29.4.2016 18:40 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Odpovědět | Sbalit | Link | Blokovat | Admin
Jo, to je dobrý nápad, dávat fotky klíčů na internet…

Podle mě to jenom zvyšuje náročnost provedení útoku -- u OTP místo ukradení hesla ukradnu cookie a se vzdálenou aplikací se pobavím s ní. U podepisování kvůli absenci displeje nevidím, co vlastně podepisuju…

Dále se trošku bojím toho mít klíč na takovém docela uzavřeném a neauditovatelném zařízení - konkrétně bych čekal nedostatečný RNG nebo rovnou backdoor.
Zde ovšem narážíme na problém dnešních mobilních operačních systémů, které jsou stejně děravé, jako ty desktopové.
A také na mobilní sítě, které jsou děravé
Když ODS omylem objedná na darkmarketu drogy od dealera se špatným ratingem...
Jendа avatar 29.4.2016 18:42 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Jo, to je dobrý nápad, dávat fotky klíčů na internet…
Tak už mi napsal, že jsou shopped.
Bystroushaak avatar 29.4.2016 18:55 Bystroushaak | skóre: 32 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Jo, to je dobrý nápad, dávat fotky klíčů na internet…
Klíče jsou skutečně upravené v gimpu kopírovacím nástrojem. Z těch stínů je to trochu vidět, hlavně u „červeného“.
Dále se trošku bojím toho mít klíč na takovém docela uzavřeném a neauditovatelném zařízení - konkrétně bych čekal nedostatečný RNG nebo rovnou backdoor.
Yubikey afaik nějakým auditem prošel. Úplně věřit se mu ale asi nedá, ale o tom už jsme měli jeden rozhovor na IRC (pod mikroskopem zkoumatelné FPGA).
29.4.2016 21:48 crazynomad
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
U hardwaru audit nepomuze. Kazdy kus se muze lisit a tezko se to zjistuje. Jednou nam do firmy prisla varka procesoru, u ktere se po delsi dobe zjistilo, ze jiste delsi posloupnosti instrukci specificky poskozuji pamet. Nepovedlo se prokazat snahu o sabotaz nebo napadeni. Obrana je tezka, kdyz se k nam prokazatelne chteli dostat i tajne sluzby. Bez ohledu na predchozi, pro bezne lidi to muze fungovat jako levne vylepseni bezpecnosti a v tom Yubicu fandim.
1.5.2016 15:24 Ovocníček
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Můžu se zeptat co jste za firmu?
3.5.2016 09:57 crazynomad
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Suse
5.5.2016 17:36 koroptev
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Suse to je skoro zbrojovka
29.4.2016 20:52 karelI
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Odpovědět | Sbalit | Link | Blokovat | Admin
Možná mi něco uniká, ale není mi jasné, jak takový token může cokoli garantovat, pokud předpokládáme, že samotný počítač je pod kontrolou útočníka. V tu chvíli je totiž i můj systém MITM a jediné co ovládám já je ten token.
Bystroushaak avatar 29.4.2016 21:12 Bystroushaak | skóre: 32 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Afaik ani tvůrci ani já jsme nikde nepsali, že ti může cokoliv garantovat. Je to pouze spolehlivější metoda dvoufaktorové autentizace.
29.4.2016 21:49 karelI
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
V tom případě jsem asi nepochopil odstavec "K čemu?". Jestliže si útočník s mým mobilem a kompem může dělat co chce, tak první co udělá je, že tuto ochranu odpojí. Pouze mu stačí, aby mě udržoval v iluzi, že je to stále chráněné. Čili ve skutečnosti to nepřidává ke spolehlivosti vůbec nic, jen to uživateli komplikuje život (a v té iluzi nějaké vyšší bezpečnosti ho to udržuje vlastně už od počátku).
Bystroushaak avatar 29.4.2016 21:58 Bystroushaak | skóre: 32 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Jo, to jsi fakt nepochopil.

Pokud ochranu odpojí, tak je mu to k ničemu. Tohle není ochrana počítače, to je ochrana tvých účtů a hesel. Ochrana nespočívá v software, ale právě v tom hardware, který vyžaduje fyzicky rukou zmáčknout hardwarové tlačítko na tom tokenu. Hesla však nikdy neopouštějí token, maximálně co útočník může je zachytit jeden OTP string, což potom řeší práve GPG v režimu smartcardy, kdy nezachytí nic, protože klíč nikdy neopouští token.
29.4.2016 22:48 karelI
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Jenže tohle všechno předpokládá, že ty účty jsou na ten token nějak napojeny. První co útočník udělá je, že tuto vazbu zruší a je po všem. K tomu bude potřebovat, abys mu ten token parkrát zmáčknul, ale to není problém, když má vše pod kontrolou. Takže ten token je k ničemu, když máš hacknutý systém a tedy ani nevíš, co vlastně podepisuješ. Když nad tim tak přemýšlím, vlastně ani není potřeba rušit tu vazbu. To že nevíš co podepisuješ úplně stačí, jen je to trochu pomalejší.
30.4.2016 11:08 Filip Jirsák
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Mohl byste rozvinout, jak si ten útok představujete? Dejme tomu, že OTP hesla používám k přihlášení ke vzdálenému serveru přes SSH. Pokud se budu přihlašovat jenom heslem, stačí útočníkovi odposlechnout heslo a může se přihlásit mým jménem, kdy ho napadne. Pokud budu používat přihlášení klíčem uloženým na disku, stačí útočníkovi získat klíč a heslo k němu, a opět se může přihlásit, kdy ho napadne. Útočník, který má plně v moci můj počítač, obojí zvládne. Ale jak si představujete útok na ten token? Útočník, který má plně v moci můj počítač, samozřejmě kdykoli může převzít navázané spojení, to je ale princip toho, že má v moci počítač, a není před tím vůbec žádná obrana.
30.4.2016 11:33 karelI
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Vlastně jste to popsal. Útočník převezme spojení, na server si hodí svůj privátní klíč (nebo cokoli co ho tam pustí) a token je ze hry. Obávám se, že pro něj bylo snažší token obejít než pro vás ho nastavit. A vy nadále žijete v blaženém pocitu, že musíte zmáčknout tlačítko :-)

Prostě článek měl mít motivaci spíš takovou - jsme paranoidní, máme napadený mobil i komp, takže útočník si může dělat co chce. Tak to hodíme za hlavu a budem se zabývat hračkou, která s tím vůbec nesouvisí, komplikuje nám postupy, ale vypadá to strašně cool :-)
30.4.2016 11:55 pavele
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Mohl bys popsat převzetí navázaného spojení u OpenSSH s klíči? Pokud vím, v okamžiku zasahování do komunikace SSH dojde automaticky k ukončení spojení.

Spíše mi připadá, že se snažíte, aby tyto technologie nikdo nepoužíval. Díky, pro mne to znamená, že fungují.
30.4.2016 14:04 karelI
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Opravdu chceš, abych ti vysvětloval, jak převzít spojení u systému, který mám pod kontrolou? Tedy včetně všech binárek atd.

Pouze zkouším, jestli ta motivace z článku je platná. Bohužel až příliš často se setkávám s tím, že se někdo snaží bezpečnost zvýšit způsobem, který pouze komplikuje použití, ale nezlepšuje nic. Jeden z osvědčených kritických postupů je se prostě snažit se být tím útočníkem a najít v úvaze chybu.

Druhá část tvého příspěvku je s prominutím neuvěřitelný mentální veletoč. Opravdu to bereš tak, že snaha o nalezení chyby v systému je pro tebe důkazem, že systém je bez chyby? Co na to říct...
2.5.2016 08:29 Xerces
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Nj. Bohužel se to neděje jenom v oblasti IT, ale i v jiných oblastech, například zabezpečení dopravy. Kde se vyšší bezpečnosti snaží docílit přidáváním dalších a dalších prvků, které sami o sobě třeba fungují perfektně, ale v širším kontextu jsou spíše kontraproduktivní. :-/
Bystroushaak avatar 30.4.2016 15:20 Bystroushaak | skóre: 32 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Vlastně jste to popsal. Útočník převezme spojení, na server si hodí svůj privátní klíč (nebo cokoli co ho tam pustí) a token je ze hry. Obávám se, že pro něj bylo snažší token obejít než pro vás ho nastavit. A vy nadále žijete v blaženém pocitu, že musíte zmáčknout tlačítko :-)
Token je ze hry pro jeden server. Útočník tím nezíská přístupy do banky, k šifrovaným gpg souborům, ke githubu a dalším webům a já můžu začít řešit kompromitaci. Jak jsem psal, není to dokonalé řešení, jen lepší dvoufaktorová autentizace. Nebo ta ti přijde taky úplně zbytečná?
30.4.2016 16:19 Filip Jirsák
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
To ovšem předpokládáte, že já jako uživatel mám možnost na vzdáleném serveru tu OTP autentizaci vypnout, navíc nepozorovaně. Neřekl bych, že OTP s bezpečností nijak nesouvisí, nebo že je to komplikované. Nedovedu si představit, že bych se třeba do elektronického bankovnictví přihlašoval pevným heslem.
1.5.2016 09:59 Cobolak
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
To "vypnutie" nemusi byt uplne odstranenie. Staci na vzdialenom stroji spustit backdoor ako nc -e bash utocnikov.stroj. Pri prepisani argv[0] si toho vsimne malokto. Na poslanie prikazu mi stacia vlastnosti X, netreba sa ani hrabat v zdrojakoch ssh.
1.5.2016 11:41 Filip Jirsák
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
V případě přihlašování přes SSH k obyčejnému serveru je to možné. V případě přihlašování k webmailu nebo internetovému bankovnictví je „staci na vzdialenom stroji spustit backdoor“ mimo realitu.
8.5.2016 01:15 petrfm | skóre: 22
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Tak stačí převzít mým suprtrupr tokenem autentifikované a navázané spojení a odeslat peníze, ne? Co dalšího bych měl s tím bankovnictvím chtít dělat? Takže x let nošení, hledání a mačkání nějaké cypoviny a ve finále zase prázdný účet. Stejně jako Maruna, která neumí napsat SMSku a v IB měla heslo hovnokleslo. Dvoufaktorová autorizace prostřednictvím mobilu je IMHO více jak 120% řešení. Zbytek jsou vyhozené peníze a další opruz, co musím sebou nosit, když stejně většinu průniků do IB mají debilové, co vyplňují dotazníky přijaté emailem a píšou do nich i svůj PIN.
fuck the cola, fuck the pizza, all you need is slivovitza
8.5.2016 13:33 hz
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
A ja myslel, ze 100 % je maximum ;)
pavlix avatar 8.5.2016 15:05 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
To bych mu neříkal. Takhle je aspoň na první pohled jasné, že ho má člověk ignorovat.
kyknos avatar 9.5.2016 02:25 kyknos | skóre: 18 | blog: Quid novi? | Ranša Rosa
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
cože?

už jsem slyšel, že je ph=0 minimum, 80 °F dvakrát teplejší než 40 °F, a že kytkám měří papání v luxech, ale že by 100% bylo maximum, to jsem ještě neslyšel
So the Nationalists and the Socialists have the same policy on Brexit. They should get together and form a...
9.5.2016 19:55 hz
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Nepsal jsem, ze 100% je maximum, ale ze 100 % je maximum.
kyknos avatar 9.5.2016 21:09 kyknos | skóre: 18 | blog: Quid novi? | Ranša Rosa
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Obojí je stejný nesmysl.
So the Nationalists and the Socialists have the same policy on Brexit. They should get together and form a...
k3dAR avatar 9.5.2016 23:17 k3dAR | skóre: 46
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
tak % je zlomek ze 100, ale jasne, vetsi polovina z nas to porad nechape :)
porad nemam telo, ale uz mam hlavu... nobody
kyknos avatar 10.5.2016 01:58 kyknos | skóre: 18 | blog: Quid novi? | Ranša Rosa
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
a 200/100 není zlomek? jedno jablko je maximum? ta maturita z matiky je potreba jako sul, koukam
So the Nationalists and the Socialists have the same policy on Brexit. They should get together and form a...
k3dAR avatar 10.5.2016 11:58 k3dAR | skóre: 46
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
proc by 200/100 nebyl zlomek? ti hrabe? je to zlomek ze 100, jak sem psal :) jablko ne, maximum je jeden kyknos, bejt tu dva tak uz to tu cele zkolabuje, maturitu z matiky sem mel za 1, diky za optani, ovsem ty jsi asi z psychologie delal reparat ;)
porad nemam telo, ale uz mam hlavu... nobody
kyknos avatar 11.5.2016 13:12 kyknos | skóre: 18 | blog: Quid novi? | Ranša Rosa
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
pokud někdo tvrdi, ze 100% nebo 100 % je maximum, tak asi nechape, ze 200/100 je zlomek

z psychologie mam 1 i ze statnic :)
So the Nationalists and the Socialists have the same policy on Brexit. They should get together and form a...
11.5.2016 15:32 petrfm | skóre: 22
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Jestli jsi nikdy nesplnil plán na 120 %, tak jsi houby a né soudruh.
fuck the cola, fuck the pizza, all you need is slivovitza
12.5.2016 00:00 hz
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Inu dobra, rozepiseme si to. Reakce byla na 120% reseni. Reseni chapu tak, ze kdyz je vyreseno, je to tech 100 procent. Nedava mi tedy smysl mit vic.

A to ze nejsem soudruh, to je naprosto v poradku a jsem za to rad ;-)

Jo a pardon, ze jsem krmil ten trolici komentar a svinil tak diskuzi.
13.5.2016 00:34 petrfm | skóre: 22
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Jseš tak blbej, nebo si na to jenom hraješ? Úkol/problém - vydělat na brigádě tisíc korun. Řešení - vydělám 1200 korun. Splnil jsem plán? Na 120%

ty budeš z těch, co nechápou, proč 1+1 = 1, že?
fuck the cola, fuck the pizza, all you need is slivovitza
16.5.2016 09:53 prcamo
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
asi nejakej menezer
10.5.2016 09:37 Filip Jirsák
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Mám účet pouze u takových bank, kterým k odeslání peněz nestačí, že jsem přihlášen na svůj účet, ale požadují autorizaci každé platby.
8.5.2016 01:10 petrfm | skóre: 22
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Nedovedu si představit, že bych se třeba do elektronického bankovnictví přihlašoval pevným heslem.
A proč? Mám to tak asi 10 let. 10 let stejné heslo (naprosto jednoduché, slovníkové). Nezmizela mi ani koruna. Na paranoiu pomáhají prášky, ne tokeny :-)
fuck the cola, fuck the pizza, all you need is slivovitza
pavlix avatar 8.5.2016 15:06 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Obávám se, že bezpečnost nezávisí na tom, zda se vám ztratila koruna.
10.5.2016 09:40 Filip Jirsák
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
To, že vám nezmizela ani koruna, neznamená, že je to bezpečné.
11.5.2016 15:29 petrfm | skóre: 22
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
To prakticky dokazuje, že to bezpečné je. Naopak, to, že si myslím, že je to bezpečné neznamená, že mi někdo nevybere účet. Pokud bych si měl vybrat, raději bych zvolil nezabezpečený účet, na kterém peníze zůstanou :-) Ale to je možná tím, že mám raději praxi, než rozjímání nad kouskem hovna.
fuck the cola, fuck the pizza, all you need is slivovitza
pavlix avatar 11.5.2016 22:03 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Ale to je možná tím, že mám raději praxi, než rozjímání nad kouskem hovna.

Tak proč mám z toho, co píšeš přesně opačný dojem?
13.5.2016 00:38 petrfm | skóre: 22
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Protože rád rozjímáš a slovíčkaříš... :-) Nad čím si doplň sám... :-) Celá tahle diskuze je o bezpečnosti, která neexistuje, takže je vlastně o ... Bezpečné je jenom to, že všichni umřeme.
fuck the cola, fuck the pizza, all you need is slivovitza
30.4.2016 11:15 Raketa
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Přesně tak. Je dobré nežít v iluzi nějaké super bezpečnosti díky tomu, že mám nějaký artefakt, který mě omezuje. Token musí mít vlastní display a klávesnici, aby bylo jasné co dělá a co dělám já. Je nesmysl řešit u yubikey scan pod el. mikroskopem, když je tu mnohem jednoduší vektor a bez fyz. přístupu.
Bystroushaak avatar 30.4.2016 15:17 Bystroushaak | skóre: 32 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Ehm, co by měl dělat, když je to jednoúčelové zařízení, které prostě nic jiného neumí? Jak by ti v tomhle pomohl displej a klávesnice. Navíc yubikey v podstatě displej a klávesnici má - je tam jedna ledka, která začne blikat když chce GPG heslo a jedno tlačítko fungující ve dvou režimech (krátký a dlouhý dotek).
8.5.2016 11:46 Zopper | skóre: 14
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Problém je třeba v elektronickém bankovnictví, když mi malware pod rukama změní informace o platbě, co právě posílám. V takový okamžik čekám, že budu generovat OTP, ale zatímco na mobilu mi v sms přijde číslo cílového účtu a částka, a já si můžu ověřit, že mezi klávesnicí a bankou nedošlo ke změně, u Yubikey podepisuju prázdný papír a jen doufám, že mi útočník nepodstrčil k podpisu něco jiného.

Mobil má zase riziko toho, že bude taky napadnutý... (Ale můžeme si být jisti, že neexistuje nějaký vektor na Yubikey?) Člověk si nevybere, no.
"Dlouho ještě chcete soudit proti právu, stranit svévolníkům?" Ž 82,2
Bystroushaak avatar 8.5.2016 14:09 Bystroushaak | skóre: 32 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Já bych to viděl jako doplněk, ne jako úplnou náhradu a kompletní řešení. To by se asi dalo jen jak jsem psal, kdyby měl člověk přímo v mozku podporu asymetrického šifrování.
29.4.2016 21:58 veveričkaplešatá
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
keby ste sa rozpisali radsej o tom ako sa prihlasit cez ten kluc do pocitaca tak ako aj root a ako aj user , ako to nakonfigurovat a podobne vsade sa pisu len same omacky ale to podstatne je vzdy vynechane ... bol by som povdacny ako to potom bude prihlasovat a podobne , ako si to generuje heslo ktore pouzije nabuduce a tak ako sa vlasne pomocou toho klucu prihlasim do PC to mna zaujma a nie nejake google a podobne cloud sluzby ... zial je to tak . Dakujem .
Bystroushaak avatar 29.4.2016 22:03 Bystroushaak | skóre: 32 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Jak jsem psal dál, budou ještě další díly (rozkouskovala to redakce, ne já). V nich se řeší použití s GPG (jak ho kompletně rozchodit, vygenerovat klíče, nastavit PINy a tak) a použití pro SSH (privátní klíč je pak v tokenu). Neřeším tam přihlášení do počítače, ale to je v podstatě stejné, jako to SSH, jen to chce říct linuxu (PAM modul) aby se přes GPG spojil s tím tokenem. Není vyloučeno, že o tom já, nebo někdo jiný potom ještě napíše další info, ale zatím jsem neměl potřebu to nastavovat.
30.4.2016 09:55 pavele
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Stačí se podívat do sekce Hardware -> Příslušenství -> Podle sběrnice -> USB -> Kryptografická zařízení -> YubiKey NEO. Tam jsem popsal, jak jsem si token nastavoval já. Zbytek máš zde nebo zde.
Bystroushaak avatar 30.4.2016 15:31 Bystroushaak | skóre: 32 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
YubiKey NEO.

Dobré. Ten další díl článku bude podobný.
limit_false avatar 29.4.2016 23:35 limit_false | skóre: 22 | blog: limit_false
Rozbalit Rozbalit vše scdaemon
Odpovědět | Sbalit | Link | Blokovat | Admin
Běží ti proces scdaemon? Nebo víš, jaký proces obstarává komunikaci s Yubikey? Já jsem u gpg2 zjistil, že na CentOS 7 se stěžuje gpg2 --card-status hláškou "OpenPGP card not available: No SmartCard daemon". Na Ubuntu 16.04 to samé, ale funguje GPG 1.x gpg --card-status.

Už Yubikey dlouho používám, ale tohle mně trocha zaskočilo. Neměl jsem ještě čas debugovat, v čem je plně přesně problém.

BTW někdo se tady ptal o přihlášení na počítač - já Yubikey používám někde na su/sudo přes PAM u některých strojů. Podobně by to šlo na login. Do /etc/pam.d/ souboru se přidá něco jako:

auth            sufficient      pam_yubico.so id=... authfile=... url=...

Viz pam_yubico.
When people want prime order group, give them prime order group.
Bystroushaak avatar 30.4.2016 15:29 Bystroushaak | skóre: 32 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: scdaemon
Běží ti proces scdaemon?
Neběží.
Nebo víš, jaký proces obstarává komunikaci s Yubikey?
gpg-agent --daemon --enable-ssh-support. O tom budou další detaily v příštích dílech a u tohohle dílu na konci.
limit_false avatar 30.4.2016 18:32 limit_false | skóre: 22 | blog: limit_false
Rozbalit Rozbalit vše Re: scdaemon
Záhada vyřešena, gpg2 skutečně potřebuje scdaemon k fungování. V Ubuntu je v balíku scdaemon, pro CentOS se skrývá v gnupg2-smime.
When people want prime order group, give them prime order group.
Bystroushaak avatar 30.4.2016 19:23 Bystroushaak | skóre: 32 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: scdaemon
Balík možná, ale jako proces to opravdu běžet nevidím.
limit_false avatar 30.4.2016 19:41 limit_false | skóre: 22 | blog: limit_false
Rozbalit Rozbalit vše Re: scdaemon
Mně ho gpg2 vždy spustí při --card-status nebo nějaké práci s PGP appletem na yubikey (gpg2 2.1.11).

Ještě si vzpomínám, že scdaemon tu kartu drží jako "otevřenou", tj. nedostane se k ní jiný proces (např. pokud se používa SSH s PIV appletem přes OpenSC PKCS#11). Stačí toho scdaemona killnout, ale je to trocha usability bug.
When people want prime order group, give them prime order group.
Bystroushaak avatar 30.4.2016 19:49 Bystroushaak | skóre: 32 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: scdaemon
Aha. Jestli ho pustí vždycky jen na chvíli, tak to je pak možné, zas tak detailně jsem to nezkoumal.
30.4.2016 20:46 pavele
Rozbalit Rozbalit vše Re: scdaemon
Jako alternativu k Yubikey doporučuji token K30 s kartou Open PGP SmartCard V2.1 ID-000 (pro GPG). Funguje "out of box", testováno na Debian Sqeeze, Jessie, CentOS 6/7. :-)
limit_false avatar 30.4.2016 21:46 limit_false | skóre: 22 | blog: limit_false
Rozbalit Rozbalit vše Re: scdaemon
Pokud myslíš tohle, tak to mám (ten dolní). Používal jsem to hlavně jako čtečku na SIM karty.

Kde jsi koupil tu OpenPGP kartu? Před časem všechny obchody, co to prodávali, byli vyprodané. Možná zas nějaký ožil? Vypadá, že kernelconcepts.de je má zas na skladě.
When people want prime order group, give them prime order group.
30.4.2016 14:39 Kolar
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Odpovědět | Sbalit | Link | Blokovat | Admin
Diky za pekny clanek! Jiz drive jsem uvazoval o porizeni si, ted jste mi to zase pripomnel.

Par dotazu:

1) Ramcove, o cem budou dalsi dily?

2) Alternativy k Yubikey? Ev. ktere verze si poridit..?

3) Recovery? Situace, kdy mam s Yubikey sparovany dm-crypt pri bootu, GPG klice...a ztratim klicenku.

Diky moc,
Bystroushaak avatar 30.4.2016 15:14 Bystroushaak | skóre: 32 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
1) Ramcove, o cem budou dalsi dily?
Už jsem to tu psal:
budou ještě další díly (rozkouskovala to redakce, ne já). V nich se řeší použití s GPG (jak ho kompletně rozchodit, vygenerovat klíče, nastavit PINy a tak) a použití pro SSH (privátní klíč je pak v tokenu)
2) Alternativy k Yubikey? Ev. ktere verze si poridit..?
Bývalý kolega, který je teď v redhatu používá něco s displejem. Ukazoval mi to, ale bohužel žádné detaily nevím, ale třeba bude vědět někdo jiný z diskuze.
3) Recovery? Situace, kdy mam s Yubikey sparovany dm-crypt pri bootu, GPG klice...a ztratim klicenku.
Kopii privátního GPG klíče si můžeš po vygenerování uložit někam vedle (=veracrypt oddíl), nebo offline.
30.4.2016 20:56 alkoholik | skóre: 35 | blog: Alkoholik
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Odpovědět | Sbalit | Link | Blokovat | Admin
Byl to jenom muj pocit nebo PKI a PGP applety na Yubikey 4 nesdili PIN a PUK a je potreba je zmenit v obou?
pavlix avatar 3.5.2016 10:08 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Odpovědět | Sbalit | Link | Blokovat | Admin
Nevidím nikde zmínku o LinOTP.
vpsFree.czKancelář, home office nebo freelancing?Gentoo
3.5.2016 17:22 Jenyk
Rozbalit Rozbalit vše Placebo na děsivé myšlenky?
Odpovědět | Sbalit | Link | Blokovat | Admin
Děsivá myšlenka z hlediska soukromí, ještě děsivější z hlediska moci, kterou to potenciálnímu útočníkovi dává. Jak jednou odposlechne moje hesla, má přístup všude, kde mám přístup já. Nejhorší na tom je, že se o tom ani nedozvím, protože vše vypadá naprosto legitimně, dokud mi nezačnou mizet peníze z účtu.

Děsivá myšlenka to je, o tom žádná. Ale jak to pomůže zabránit mizení peněz z mého účtu, to tedy nevím.
5.5.2016 16:56 :)
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Odpovědět | Sbalit | Link | Blokovat | Admin
pouzijte knocking :-) system vygeneruje pri prihlaseni sekvenciu 3s4k2u5n2p 3x zapnut svetlo v miestnosti /webkamera/, 4x stlacenie klaves, 2x pripojit usb kluc, 5x odpojit kabel od sietovky, 2x ist na pivo :-)

po zadani hesla vas naloguje :-)
5.5.2016 22:57 petrfm | skóre: 22
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Odpovědět | Sbalit | Link | Blokovat | Admin
Jak to bylo v těch pelíškách? Teda, to muselo dát hrozný práce... přitom taková blbost :-D Hračky navozující pocit kybernetické bezpečnosti dneska ještě někdo kupuje? Hoši, ušetřete tisícovku a zajděte si radši na pivo a za holkama :-))
fuck the cola, fuck the pizza, all you need is slivovitza
pavlix avatar 5.5.2016 23:52 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
To nejsou hračky navozující pocit bezpečnosti, ale kryptografické tokeny. Umožňují mimojiné zcela oddělit uložení klíčů od počítače, což se může hodit. Navíc to nejsou žádné drahé hračky, aspoň pokud nejde o individuální objednávku jednoho kusu. Za holkama je lepší chodit bez peněz, člověk aspoň o tolik nepřijde. Na pivo stačí pár drobných.
7.5.2016 09:10 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Ani při individuální objednávce jednoho kusu to není až tak drahé. Yubikey 4 se dá v ČR pořídit za 1162 Kč včetně DPH, to už jsem utratil víc za větší blbosti.
7.5.2016 23:37 petrfm | skóre: 22
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Umožňují mimojiné zcela oddělit uložení klíčů od počítače, což se může hodit.
Co to je jsem si přečetl. Ale k čemu to je? Kromě toho, že by se to někdy mohlo hodit? Prakticky...? Já v tom prakticky vidím jenom opruz, že abych se dostal do systému, budu muset po baráku hledat nějakou 3.14čovinu právě ve chvíli, kdy se mi nechce ani pohnout. Připadá mi to jako nahrazovat kódový zámek do prosklených dveří obrovskou kladkou na dvoukilový litionvý klíč, abych ve finále zůstal stát jak opařený před šutrem rozbitými skleněnými dveřmi se slovy : WTF? S kamenem jsem ve svém paranoidním scénáři nepočítal, to bylo moc jednoduché :-D

Můj názor je, že každé takové řešení zatěžuje jenom jeho majitele :-) Chápal bych to u systému, který běží offline a jediným rozhraním je klávesnice a USBčko. Čili mi to aspoň urychlí login. Prostě zmáčknu tlačítko a je to.

Přesto nechápu, proč kupovat nějakou předraženou kravinu, když se to beztak dá spíchnout na nějakém arduinu za 2USD.
fuck the cola, fuck the pizza, all you need is slivovitza
Bystroushaak avatar 8.5.2016 00:19 Bystroushaak | skóre: 32 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Když tě tak čtu, tak mi dochází, že jsem těmi články odvedl špatnou práci, protože jsi to vůbec nepochopil. Marně přemýšlím, jestli jsem selhal u popisu yubikeye, nebo obecně tokenů. Možná jsem měl přidat nějaké obrázky s UML sequence diagramama. Nejspíš jsem to měl přečíst někoho totálně BFU, abych věděl, jak moc věcí jsem předpokládal jako implicitní znalost a případně je vysvětlit.
8.5.2016 01:25 petrfm | skóre: 22
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Napsal jsi to moc hezky, ale popsal jsi věc, kterou dávno mám a nosím sebou - mobil. Ta zvládne to samé. Že se dá napadnout? Ano, to dá. Token se dá ukrást. Jaká je pravděpodobnost? Přibližně stejná. Takže? To nepřináší nic navíc, jenom další krám a výdaje.

Prakticky - kolikrát se ti někdo dostal do systému a napadl další stroje? A z druhé strany - kolikrát se ti někdo dostal do systému, protože v komponentě byla nezalátaná díra, kterou útočník zneužil?

IB ? mám sms autorizaci - čili OK Webmail ? Zapomenu 3.14čovinu doma na stole a nepříhlásím se do mailu? Hmm, výborná fičura. Takže si nastavím ještě jednorázové heslo? Kdo to podporuje? Normální heslo? Jsem kde jsem byl.

Nějaký další argument, proč by si to kdokoliv jiný, než paranoik, nebo sběratel HW měl koupit? Jako je to hezké, ale to třeba parní stroj taky. Mám rád technické věci, ale tohle mi moc připomíná USB flash disk na to, abych to musel mít ve vitrýnce :-)
fuck the cola, fuck the pizza, all you need is slivovitza
Bystroushaak avatar 8.5.2016 01:34 Bystroushaak | skóre: 32 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
A z druhé strany - kolikrát se ti někdo dostal do systému, protože v komponentě byla nezalátaná díra, kterou útočník zneužil?
Nice try, FBI.
9.5.2016 02:22 petrfm | skóre: 22
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Nerozumím řeči tvého kmene.
fuck the cola, fuck the pizza, all you need is slivovitza
12.5.2016 16:44 Jakub ZEMAN
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Odpovědět | Sbalit | Link | Blokovat | Admin
Koupil jsem prvních pár kousků z yubikeys.cz , celkem se nám to líbí uvažujeme o masivním nasazení v rámci firmy jako policy. Máte s tím někdo nějakou zkušenost? Přeci jen nejsme google.
limit_false avatar 14.5.2016 01:36 limit_false | skóre: 22 | blog: limit_false
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Největší otázka je: co si představuješ, že to bude umět? Nebo jaký problém to má řešit?

Protože Yubikey toho umí fakt hodně - od dvoufaktorové autentizace přes OTP a U2F, přes GPG použitelné i s SSH, nebo PIV applet s SSH?

Já osobně Yubikey převážne používám na 3 věci: především GPG klíč, su/sudo na některých serverech a SSH PIV applet.
When people want prime order group, give them prime order group.
24.5.2016 20:41 Pavel Krátký
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Odpovědět | Sbalit | Link | Blokovat | Admin
K dostání je už i v ČR na www.yubikeys.cz .
26.10.2016 15:24 mykhal | skóre: 6
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
Odpovědět | Sbalit | Link | Blokovat | Admin
.. pro zajímavost, ve "výchozí poloze" je sériové číslo 4131447 (0x3f0a77) současně tou identitou ccccccevclii (0x0000003f0a77) - jde o yubičí kódování "hexmod" (s/0123456789abcdef/cbdefghijklnrtuv/g)
26.10.2016 15:29 mykhal | skóre: 6
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
ERRATA: "s/" => "y/", "/g" => "/"
26.10.2016 17:56 mykhal | skóre: 6
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)
, "hexmod" => "modhex" # (:

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.