En el contexto de FIDO U2F, ¿cuándo se reutiliza una nueva clave efímera o se almacena en caché?

Question

En el contexto de FIDO U2F, ¿cuándo se reutiliza una nueva clave efímera o se almacena en caché?

#1 de FredericMARTIN (0 votos)

2

Estoy leyendo este documento de Yubico en Segundo factor universal y OpenID Connect y vea la descripción de las claves efímeras

Estoy confundido sobre cuándo se usa una clave efímera y bajo qué condiciones se almacenan en caché.

Desde el documento de Yubico.

Página 7:

U2F tiene una cadena de confianza similar a las autoridades de certificación que se encuentran en la PKI tradicional, pero esto no está vinculado directamente a los pares de claves emitidos por el dispositivo U2F. En cambio, esta cadena de confianza está atada al identificadores del dispositivo certificados. Estos certificados de dispositivo se utilizan junto con las claves efímeras. para identificar el dispositivo en sí (o un lote de dispositivos), lo que permite que los RP con conocimientos puedan realizar decisiones informadas sobre qué fabricantes de dispositivos están dispuestos a aceptar.

Página 9

¿Por qué tales sistemas de almacenamiento en caché se utilizarían ampliamente cuando subvierten claramente un elemento fundamental? ¿Aspecto de los componentes de seguridad? Un sistema que constantemente solicita a un usuario el mismo PIN Es probable que una y otra vez sea ignorada o rechazada por usuarios molestos por las constantes indicaciones. El uso de un caché de credenciales a menudo se considera una compensación razonable. Sin embargo, la U2F el diseño evita tener que tomar esta decisión de compensación en primer lugar al declarar explícitamente que Las claves efímeras se utilizan para identificar el dispositivo solo.

authentication multi-factor yubikey fido

pregunta random65537 18.02.2017 - 02:47

fuente

1 respuesta

Lea otras preguntas en las etiquetas authentication multi-factor yubikey fido

Cómo poner la "confianza" en el sello de tiempo de confianza ¿Qué es el modelo de seguridad QR de WhatsApp?

score 0 · Answer 1

Primero, una rápida hoja de trucos de FIDO U2F aquí (porque es fácil perderse ...) www.neowave.fr/pdfs/FIDO-U2F-CHEAT-SHEET.pdf

Respecto a la página 7:

Las identidades almacenadas de FIDO U2F se basan en claves públicas y privadas (criptografía asimétrica), cada cuenta de servicio del sitio web hace que el dispositivo FIDO U2F (puede ser pronto claves de seguridad USB FIDO U2F, tarjetas NFC FIDO U2F y dispositivos FIDO U2F BLE) generando sus propios pares de claves. Esto no es como una solución estándar de tarjeta inteligente PKI donde la mayoría de las veces hay un certificado de identidad de usuario compartido. Pero ... cada una, justo después de generarse en el dispositivo FIDO U2F, cada clave pública está firmada digitalmente por una "clave privada de producción" dentro del dispositivo FIDO U2F antes de ser devuelta al servidor. FIDO U2F proporciona una "clave pública de producción" dentro de un "certificado de certificación" adjunto a la clave pública y la firma de la clave pública. Este "certificado de certificación" y la clave pública de producción asociada pueden ser iguales en varios dispositivos de un mismo lote de producción ("lote de dispositivos") y la información dentro de este certificado está firmada por la "Clave privada del fabricante" ... y si realiza la En los productos que están certificados por FIDO Alliance, puede (no es obligatorio) registrar la "clave pública del fabricante" en el servicio oficial de metadatos aquí: fidoalliance.org/mds/ donde la información está firmada por la clave privada de Fido Alliance (certificado raíz aquí : mds.fidoalliance.org/Root.cer)

Entonces ... como ve, incluso si las "claves de usuario" son anónimas y aisladas / diferentes (claves efímeras) para cada servidor / servicio, todavía hay un tipo de cadena de confianza que puede encontrar y usar. (Nota: por muchas razones, la mayoría de los servicios no están verificando esta cadena por ahora)

Con respecto a la página 9:

Esta es una nota sobre dispositivos PKI estándar (tarjeta inteligente protegida por PIN) y no sobre FIDO U2F. Dado que solicitar un PIN para cada acción con una solución basada en PKI de tarjeta inteligente estándar puede ser tedioso, esta entrada de PIN a veces se "almacena en caché" para simplificar las interacciones del usuario y esto puede romper parte de la seguridad de la solución. Esta es una forma de explicar la elección de experiencia del usuario de FIDO U2F: usar el nombre y la contraseña del dispositivo THEN FiDO U2F como segundo factor de seguridad (sin protección con PIN).