Yubico

18.5.2020 21:18 | Přečteno: 2801× | Linux | poslední úprava: 18.5.2020 21:19

Pořídil jsem autentizační klíče Yubico, jak jsem psal v deníčku. Tak popíšu první dojmy. Až dodatečně jsem našel na tomto serveru články o minulé generaci těchto tokenů (část 1, část 2 a část 3), tak se ani nebudu snažit popisovat technickou podstatu.

Rozbalení a první kroky

Klíče přišly bez jakékoliv dokumentace, jenom na druhé straně byla adresa yubico.com/start, kam se můžete podívat i sami. Pokud jde o tvar, tokeny jsou jeden jako druhý (kromě nano), jenom barva se liší. Levnější security key je modrý, dražší Yubikey 5 je pak černý. Na rubové straně je vylisovaný nápis "Powered by Yubico". Yubikey pak ještě mají na rubové straně sériové číslo a QR kód, což je pravděpodobně totéž číslo (telefon mi ho nepřečetl). Obojí je na rubu konektoru USB, jinak je rubová strana prázdná a dá se na ni něco napsat nebo nalepit, aby člověk poznal svůj token. Modré tokeny kupodivu sériové číslo na rubu nemají.

Na focení jsem dal pro srovnání minci 10 Kč.

Půjdeme na https://www.yubico.com/products/services-software/download/ a podíváme se, co se dá stáhnout. Je tam ke stažení 7 kousků.

• YubiKey Manager - to je asi to pravé
• Smart Card Drivers and Tools - z popisu jsem nepochopil, k čemu to je
• YubiHSM 2 Libraries and Tools - HSM nemám takže někdy jindy
• Yubico Authenticator - aplikace pro Android, zatím nechávám ležet
• YubiKey Personalization Tools - už se nevyvíjí, mám použít YubiKey Manager
• Computer Login Tools - Zabezpečení Loginu Windows, zatím nechci
• YubiHSM 1 Drivers - HSM nemám a verzi 1 asi už nebudu mít

Stáhl jsem si yubikey-manager-qt-1.1.4-win64.exe (přiznávám, jsem zrovna na desktopu s Windows, na notebooku se mi špatně píše) a nainstaloval. Podle nainstalovaných souborů soudím, že to je napsané v Pythonu + QT. Po instalaci jsem nechal program zrovna spustit.

Program mě vyzval "Insert your Yubikey". Detekoval správně Security Key NFC (to je ten nejlevnější token) a vypsal verzi Firmware 5.1.2 a sériové číslo (na screenshotu smazané).

V programu není moc kam klikat, tak jsem jenom zjistil, že můžu nastavit aplikaci FIDO2, což znamená, že můžu nastavit PIN, nebo to celé resetovat. Dál jsem zjistil, že můžu zakázat FIDO2 a/nebo FIDO U2F jak na USB, tak na NFC (nezávisle na sobě). Zatím docela slabota.

Tak zkusíme Yubikey 5 NFC. Při zasouvání jsem sáhl na dotykovou plošku, což systém nebo aplikaci tak zmátlo, že se neobjevilo nic. Po opětovném zasunutí to je v pořádku.

Teď vidím, že můžu nastavovat aplikace OTP, FIDO2 a PIV. A opět můžu zakázat cokoliv na kterémkoliv (ze dvou) rozhraní.

• OTP - jsou tam 2 sloty, první se aktivuje přes krátký dotek a druhý dlouhým dotekem. Krátký dotek je konfigurován, dlouhý je prázdný. Když kliknu na Edit, dostanu možnosti:
  • Yubico OTP
  • Static password
  • Challenge-response
  • OATH-HOTP
• FIDO2 už známe z předchozího odstavce
• PIV - tam najdeme PIN management, Certificates a Reset, ať už to znamená cokoliv.

Nakonec tu máme YubiKey 5 Nano. Aplikace má stejné jako Yubikey 5 NFC, ale má jenom rozhraní USB. Manipulace je trošku horší, přeci jenom je maličký a nedá se zasunout bez dotyku na příslušnou plošku.

Teď to stejné v Debianu

V článcích odkazovaných výše píše Bystroušák, že v repositáři jsou zastaralé balíčky. Má pravdu, přesto je jenom cvičně zkusíme nainstalovat.

Mám Debian 9.1, takže starou verzi. V této staré verzi jsou některé balíčky v backports. Takže si přidáme backports podle návodu na https://backports.debian.org/Instructions/. Code name pro 9.* je stretch.

Balíček Yubikey Manager nainstalujeme příkazem apt-get -t stretch-backports install yubikey-manager. Tato verze je ovšem command-lajnová.

V repositáři jsou i 2 aplikace, které mají GUI. První je yubikey-personalization-gui, což je, jak už víme, nevyvíjená verze. Vypadá to tak nějak odporně. Dále je k nalezení yubikey-neo-manager, což je nejspíš pro starší klíče, protože fungovala nějak divně.

Yubico má na stránkách balíčky pro linux, kde asi bude stejná aplikace jako pro Windows. Je tam AppImage a něco pro Ubuntu přes PPA. Až si nainstaluji nejnovější Debian, tak to vyzkouším.

Použití klíče pro login do Googlu

Na všech svých počítačích používám Firefox.

Nejdřív jsem zkusil klíče zaregistrovat (na Windows). Registrace (u Googlu) se trošku zadrhla u prvního klíče, protože varianta Security Key nebyla vidět, tak jsem omylem zvolil Backup Codes. Po rozkliknutí dalších možností už to šlo hladce. U druhého klíče se kupodivu volba Security Key objevila hned.

Po Logout/Login jsem se zkusil nalogovat a chtělo to po mně druhý faktor, tak jsem ťuknul do plošky a bylo to.

Na Linuxu jsem zkusil totéž a 2faktorová autentizace proběhla podle očekávání. Jenom text v okně je trošku jiný.

Závěr

Od doby napsání článků odkazovaných nahoře máme novou generaci YubiKey, která navíc umí NFC. Při použití NFC stačí token přiblížit, nemusí se dotýkat plošky (zkoušel jsem na telefonu).

Cena poskočila ze $40 na $45 (verze nano stojí $50). Cena v českém e-shopu tak nějak odpovídá, když uvážím, že cena v dolarech je nejspíš bez DPH.

Řekl bych, že některé věci jsem moc nedomyslel, konkrétně:

• Nejlevnější (modrý) Security Key se moc nepoužije. Když jsem se podíval na seznam stránek, které ho podporují (tady: katalog, tak z těch, které mi něco říkaly, tam byly Google, většina sociálních sítí, GitHub, Gitlab. Pokud hrajete hry, tak většina producentů implementuje nějakou formu *OTP, takže potřebujete Yubikey.
• Mají-li mít všichni doma vlastní token, musí mít i záložní. Při počtu 4 počítačově (polo)gramotných to vychází na 8 tokenů po cca 1300Kč, což je docela dost peněz. Samozřejmě by asi šlo optimalizovat a mít doma jeden univerzál, ale to bych ho asi musel zabetonovat do podlahy, aby ho děti neztratily.

Mám z Yubico takový Applovský dojem. Provedení pěkné, webová prezentace bombastická a některé věci fungují hned po rozbalení. Ale když člověk chce něco víc, tak musí hledat po různých diskuzních fórech. Asi jsem totální ignorant, ale návod k aplikacím jsem na stránkách výrobce nenašel a nějaké praktické informace k Yubikey jsem našel zakutané hodně hluboko.

Diskuse

Mám se snažit o technický popis? Ověřit práci s PGP, zkusit nějaké OTP, případně něco s PIV?

Diskutujte si o čem chcete, jenom Amiga nesmí počítat slova a/nebo znaky.        

Obrázky

Tiskni Sdílej:

Komentáře

Vložit další komentář

Založit nové vlákno • Nahoru