Vlákno názorů k článku mojeID už funguje i s úrovní záruky „vysoká“. K čemu je dobrá a jak ji aktivovat? od pepa - Škoda, že to podporuje (zatím? doufám) jen ten...
-
Škoda, že to podporuje (zatím? doufám) jen ten Idem Key a nic jinýho. Proč?? Yubikey mi to ukazuje jen jako L1, což je dost škoda, protože ten Idem Key je na tom co se týče kvality zpracování o dost hůře.
Nosím na klíčích Yubikey i Idem stejnou dobu (cca rok) a Idem key už praská, plast se odlupuje. Yubikey 5 nfc je stále skoro jak po prvním vybalení. -
Yubikey má certifikaci FIDO2 level1. Také doufám, že Yubico certifukuje časem klíče i na level 2. Proč to zatím neudělali jsem však nikde nedohledal, možná jejich design hw nesplňuje certifikační požadavky? Viz třeba "Allowed Restricted Operation Environment (AROE)" .
-
Problém je v tom, že ty požadavky, jakkoli na první pohled znějí rozumně, vylučují např. možnost updatovat firmware, což je pravý opak toho, co většinou chceme. Takže se dostáváme k paradoxu, kdy nejuznávanější tokeny (Yubikey, Nitrokey) pro úroveň "vysoká" použít nelze a je nutné místo toho pořizovat tokeny podstatně méně renomovaných výrobců. :-(
-
Jestli se neco nezmenilo, tak zrovna u Yubikey vypada update firmware v praxi (vyzkouseno 2x na Yubikey NEO) tak, ze:
1) vyjde najevo, ze firmware verze X ma nejakou bezpecnostni chybu, kterou opravuje verze Y
2) posle se reklamace, ze klic ma bezpecnostni chybu
3) yubico posle zdarma novy klic s firmware YProtoze puvodne upgradovatelny firmware udelali v nejaky moment neupgradovatelny kvuli bezpecnosti. A to u nejstarsich verzi IIRC slo i ruzne kompilovat a nahravat vlastni applety a tim treba ziskat podporu GPG driv, nez tam byla standardni.
Jestli to teda pak u Yubikey 5 zase nezmenili. -
ty klíče mají být HW bezpečné, pokud FW může něco opravit, tak může i něco pokazit a to by v tomhle případě nemělo být možné.
Problém s updatem může být nejen vyzrazení klíče (teoreticky), ale třeba i vložení nového klíče a změnu identity, nový klíč může být jen v tom FW a nemusí být v uložišti. Dá se ale určitě vymyslet spousta útoků a je asi dobrý důvod, proč klíče nemá být možné SW měnit.
-
A co Yubikey 5 FIPS series? Ten by měl mít zabezpečení urovně L2. Prosím může to zde někdo potvrdit nebo vyvrátit? https://www.yubico.com/products/yubikey-fips/
-
Píše se na webu mvcr.cz:
Prostředek pro elektronickou identifikaci s úrovní záruky VYSOKÁ vydávaný v rámci kvalifikovaného systému el. identifikace se bude sestávat z kombinace uživatelského hesla k mojeID účtu, PINu příslušnému k FIDO2 tokenu certifikovaného minimálně na úroveň L2 dle certifikačního programu FIDO Alliance.
FIDO2 token dále musí být založen na bezpečné platformě certifikované podle standardu FIPS 140-2 Level 3 nebo Common criteria EAL4 + AVA_VAN5 v souladu s příslušným profilem ochrany bezpečné platformy. Pro použití FIDO2 tokenu je zapotřebí zadat minimálně čtyřmístný PIN a zároveň nesmí token umožňovat nahrazení PIN biometrií. FIDO2 token musí dále zajistit, že soukromý klíč bude používán pouze pro podpis výzev dle FIDO2 standardu a FIDO2 token musí být blokován maximálně po 8 neplatných pokusech zadání PIN
....
12. 12. 2021, 12:34 editováno autorem komentáře
ČLÁNKY DO MAILU