Vlákno názorů k článku
Češi vydávají malé zařízení Talisman pro bezpečné přihlašování k bankovnictví a aplikacím od Robin77 - Jakmile nekdo tvrdi ze se jedna “v současnosti...

Jakmile nekdo tvrdi ze se jedna “v současnosti nejbezpečnější způsob přihlašování” tak jde o marketing a ne bezpecnost. Od tohodle zarizeni ocekavam primarne bezpecnost a jelikoz tam nevidim zadne certifikace typu FIPS tak je to budto startup produkt do ktereho investovat nebudu, nebo se jedna o produkt/firmu ktera z jakehokoliv duvodu certifikaci nema coz je zase duvod tohle nekupovat. Krome toho tam vidim pro me zasadni technicke omezeni - 9 aplikaci ktere se muzou pripojit k jednomu zarizeni. Pokud je to tak, ze to jedno zarizeni podporuje max 9 bank, nebo dokonce jenom 9 bankovnich uctu /nebo sluzeb tak bych tech zarizeni musel mit nekolik coz z pohledu uzivatele stoji za prd.

Podobnou certifikaci fakt neziskate za par mesicu... to neni jak osvedceni douladu ala CE. Mimoto, kolik veci ve vasich rukach tu FIPS certifikaci opravdu ma? ;-) Co treba vas mobil a jeho TPM?

Treba i ve FIDO tokenech tech "klicu" zrovnatak nemuzete mit neomezene, stejne jako nemuzete mit neomezene certifikatu v obcance. Vetsina pouzivanych tokenu papirove FIPS taky nema, a nase obcanka...? :-)

A do ceho (ne)budete investovat ve finale stejne rozhodne nekdo jiny. Uzivani jinych vami pouzitych prostredku se zneprijemni, zpoplatni a nebo i znemozni a vy stahnete ocas...

na yubikey se certifikat nenahrava tam je stejny klic pro vsechny aplikace a podepisuje se tam domenove jmeno aby set to nedalo zneuzit napric domenami

Dobrý den, dovolím si malé technické doplnění...

Talisman je postavený nad stejným FIDO2 standardem, jako například Yubikey. FIDO2 pak definuje dva způsoby uložení credentials: "resident keys" a "non-resident keys" (v nové terminilogii discoverable/non-discoverable credentials, zde se mi sémanticky hodí spíše původní označení).

V případě použití "resident keys" jsou klíče uložené přímo v HW autentikátoru. Takto uložené klíče se používají přímo pro podpis autentizační challenge (a metadat požadavku). Talisman i Yubikey mají omezení na počet takových klíčů. My jsme konfiguračně zvolili číslo 9 (méně, než má Yubikey), přestože bychom jich asi mohli mít více. Částečně jsme to udělali kvůli různým omezením uživatelského rozhraní (např. rychlost volby služby na PIN klávesnici), částečně proto, že díky federované autentizaci může jeden ID provider zabezpečit desítky služeb, a hlavně proto, že našim klientem je primárně banka a vyšší počet služeb nebyl pro use-case banky potřeba.

V případě použití "non-resident keys" je pak na zařízení vyhrazený jeden statický klíčový pár, který se nepoužívá k podepisování, ale k šifrování. Při přidávání nové služby se generuje nový klíčový pár specifický pro danou službu, privátní klíč této služby se šifruje statickým public klíčem, a takto šifrovaná hodnota je uložená na serveru jako identifikace credentials. Při autentizaci následně služba do autentikátoru prezentuje šifrovaný privátní klíč, a autentikátor jej statickým privátním klíčem dešifruje, a spočítá podpis challenge. Tímto mechanismem je možné podporovat neomezené množství služeb.

V rámci Talismanu jsme se rozhodli podporovat pouze "resident keys", protože jsme chtěli preferovat ukládání privátních klíčů s ochranou PIN kódem přímo na zařízení. V obou případech je pak autentizační flow pevně spojené s doménou, díky čemuž dochází ke zvýšené ochraně proti phishingu.

Yubikey má řadu "aplikací", takže to asi závisí, ale náhodný můj má definitivně omezení authentizace - 32 slotů pro OATH, 25 slotů pro Webauthn/FIDO2 credentials pro passwordless.

Danny, soucasny stav je, ze o bezpecnosti daneho zarizeni tvrdi jenom jeho vyrobce ze je nejbezpecnejsi. Zadny audit zarizeni neprobehl, zadnou certifikaci nema, takze jedna se jenom o marketingovy zvast vyrobce. Az bude mit nejake audity, certifikace, tak se muzeme bavit o tom jestli je nejbezpecnejsi nebo ne. Kdyz se chceme bavit o mobilech, tak treba ten muj ma certifikace pro OS https://support.apple.com/guide/certifications/ios-security-certifications-apc3fa917cb49/web . Jak je na tom android netusim.
Ceska obcanka me nezajima, je to tunel na ntou bez nejakeho vyznamneho prinosu obcanum.
Tokeny si vybiram tak aby nebyli od nahodne ceske firmy bez bezpecnostnich auditu a bez certifikaci a ano, vsechny tokeny ktere mam maji FIPS certifikaci (dle urceni ruzny level).
O investicich pro sebe a sve firmy rozhoduji sam a treba tohle by neproslo v zadne me firme z pohledu bezpecnosti (neresim ja). Jestli ty nakupujes random hw preprodavany ceskou firmou ktera si do nej nahraje neco svyho je na tobe, za me tohle nema s bezpecnosti nic spolecneho.

9. 7. 2024, 20:49 editováno autorem komentáře

Dobrý den, samozřejmě respektujeme Váš názor a s empatií vnímáme Vaše rozhořčení, ale snažíme se nebýt úplně náhodnou firmou - jako společnost certifikace i garance samozřejmě máme, přestože neustále vnímáme potřebu se v těchto ohledech zlepšovat (a jako dodavatele pro bankovní sektor nás k tomu nutí i legislativa). Základní přehled firemních a produktových certifikací uvádíme například zde: https://www.wultra.com/compliance

Možná bych ještě doplnil upřesňující komentář k úplně poslední větě Vašeho příspěvku: Talisman je náš výrobek - vyroben v Česku, dle našeho designu hardware, samozřejmě také s vlastním firmware a appletem pro Java Card. Jsme tedy opravdu kompletním výrobcem řešení (tedy "nenahráváme firmware na cizí random hardware", nic nepřeprodáváme)...

9. 7. 2024, 23:54 editováno autorem komentáře

Zajiste jste si vsimnul, ze ani ta certifikace u iPhone neni zarukou toho, ze tam nejsou skarede bezpecnostni chyby (v roce 2023 dvacet zero-day) :-) Aby to nakonec s FIPS u iPhone nebylo podobne jako je k videni u FAA... staci se podivat na Boeing, ze...? ;-) Tu a tam upadnou dvere, tu a tam to spadlo. Toliko k te slepe vire v certifikace. Ne, bezpecnost fakt neni o papirech (i kdyz jisty brnensky urad je jineho nazoru, podobne jak vy). S tim, jak se obcas "dela" i takove ISO jsem uz take obcas do styku prisel.

Dobrý den, Robine, s Vaším názorem na certifikace se naprosto shodujeme.

V tvrzení o bezpečnosti se odkazujeme především na použitý standard FIDO2/WebAuthn realizovaný skrze samostatný bezpečnostní klíč, který v různých bezpečnostních modelech (např. CASMM) zaujímá nejvyšší pozici zejména díky vestavěné ochraně proti phishingu (spojení autentizačního procesu s doménou) a vyšší odolnosti proti útokům, které cíli na mobilní autentikátory (mobilní malware, remote desktops, atd.). Srovnáváme se s hesly, code-based autentikátory, či dnes nejvíce populární autentizací přes mobilní aplikaci.

Jelikož naše zařízení je postavené na standardu FIDO2, jsou pro nás relevantní především certifikace FIDO Aliance (které probíhají v součinnosti s akreditovanou bezpečností laboratoří). V tuto chvíli je výrobek v součinnosti s FIDO Aliancí testovaný na základní interoperabilitu, na cestě je základní certifikace, díky které budeme moci zařízení distribuovat jako "FIDO2 Certified", a naší ambicí je postupovat v certifikaci až na úroveň L3+, na kterou si věříme zejména díky použití dedikovaného chipu "secure element" od Infineon a celkové stavbě autentikátoru. Držte nám palce! :-)

Zařízení nyní opravdu podporuje pouze 9 služeb - je to omezení, které jsme zvolili v součinnosti s našimi klienty (banky) s ohledem na zamýšlené použití zařízení (primárně specializované cílovky, jako např. korporátní klienti, účetní, prémioví klienti, či klienti s averzí k využívání smartphone pro autentizaci).