Yubikey: ¿Cómo se asegura la clave OpenPGP mediante PIN y frase de contraseña?

Navega tus respuestas
5

Uso de Yubikey 4 como una tarjeta inteligente OpenPGP con GnuPG: ¿Cómo se protegen el PIN y la frase de acceso del usuario?

En caso de que un atacante sofisticado con acceso físico a Yubikey 4 logre extraer físicamente la clave privada bajo el microscopio sin saber el PIN y la frase de contraseña del usuario:

  • ¿Qué cifrado (cifrado, modo, hash, etc.) se encuentra en este "último recurso" para proteger la clave privada?

  • ¿Es esta última barrera criptográfica hecha con código GnuPG o el fabricante de Yubikey codifica su propia versión?

    • Dado que Yubikey 4 declara que es una tarjeta inteligente OpenPGP compatible, ¿significa que tiene la misma protección PIN / frase de paso que la tarjeta inteligente G10?
pregunta user3200534 03.01.2016 - 15:16
fuente

1 respuesta

0

Dado que hubo un error que le permite usar la clave privada sin el PIN (frase de contraseña ) siendo validada , obtengo que la tarjeta no cifra realmente las claves privadas (como se hubiera hecho al usar claves "normales" con protección de frase de contraseña con GnuPG):

  

El código fuente contiene una falla lógica relacionada con la verificación del PIN del usuario (también conocida como PW1) que le permite a un atacante con privilegios del host local y / o proximidad física (NFC) realizar operaciones de seguridad sin conocer el código PIN del usuario.

No tengo conocimiento de que esto haya cambiado, pero solo la verificación se solucionó en las versiones actuales. En otras palabras, las claves secretas en una YubiKey se almacenan sin cifrar, y los atacantes sofisticados capaces de leer el almacenamiento de la clave pueden extraer las claves privadas no cifradas.

    
respondido por el Jens Erat 03.01.2016 - 19:54
fuente

Lea otras preguntas en las etiquetas

OAuth: por qué intercambiar el código de autenticación por un token ¿En qué se diferencia PasswordSafe de KeePass / OtpKeyProv?