Какой ключ безопасности fido купить?

Сам ты труп! Фидо рулит! Запускай голдеда!

Ну тебе хорошо рассуждать, дед, ты скоро уже того. И внук твой при заведении собаки тебя не спросит, каким таким эдиктом популярная кличка, оказывается, запрещена к использованию. Помрешь — а нам в этом мире жить. Одно спасает — плевать нам на твои фантазии и правила.

А ты тот самый второй зомби или только запашок косплеишь?

Вот взяли и такую хорошую тему скатили в какобычно.
Уже давайте, братцы, поделите сферы использования токенов, отделите u2f для гугля и прочих веб доступов namecheap от ssh ключей.
И перестаньте покупать проприетарные yubikey за мильёны, когда есть кошерно-православные опенсоурс solo.

Да нет, в ближайшие лет 60-70 не собираюсь) Тебе вообще хоть 20-то есть? Ты эталонно сейчас горячее с мягким спутал, имена и названия массовых вещей. То, о чем выше говорилось - как минимум, некрасиво, потому все (ну кроме детсадовцев) знаю, что такое фидонет, и увидев, что какой-то продукт носит тоже название, подсознательно решат, что он как-то связан, что привлечет внимание, так что это просто реклама за чужой счет, за счет названия и всего с ним связанному, к чему данные ребята врядли имеют отношение.

Тебе вообще хоть 20-то есть?

Есть, и 30 есть. Я и HDD на 20МБ помню, и диалап. ФИДО помнит два деда, но мертво оно давно.

так что это просто реклама за чужой счет, за счет названия и всего с ним связанному

Даже законы о зарегистрированных торговых марках менее категоричны тебя, даром что отбитые.

И перестаньте покупать проприетарные yubikey за мильёны, когда есть кошерно-православные опенсоурс solo.

как только они перестанут торчать из моего 10" ноута на целый 1", так и подумаю.

Так ты старше, лол, мне 30 нет) Причем тут законы? Они не всегда справедливы, во-первых, во-вторых, речь о рекламе за чужой счет. Законы на то и законы, что обобщают, а мы сейчас отдельно рассматриваем конкретную ситуацию.

Нет, речь идёт о фантазиях сварливого деда душой. Технология отмучалась, 20 лет выждано, пора и четыре буквы освободить.

Нет, дело именно в рекламе за чужой счет. Создатели этих ключей что-нибудь сделали для фидонета? Какое моральное право они имеют пиариться за их счет?

Так они и не пиарятся. Ассоциации с собачкой будут популярнее на многие порядки.

С собачкой, которая логотип фидо? С дискетой в зубах?

Нет, с той, которая в нике у тебя, блин. Хорош шланговать.

Короче, они неправы и точка.

Т.е. его смысл на 0 умножать. Понимаю...

Ну ты не перебарщивай. Фидо, это, конечно, история, но пиариться за счёт любительского проекта, 30 летней давности, это перебор.

Ты еще скажи, что аппле на битлс пиарятся..

Ну таскать в карманах связку ключей и занимать пачку усб портов явно некошерно. Я бы вообще взял ключ, чтоб там еще и флешка была…

аппле на битл пиарится..

Это ты про что вообще?

apple торговая марка звукозаписывающей студии битлз.

В свое время суд разрешил эпплу так называться, потому что они не занимались музыкой.

После выхода itunes пришлось снова разбираться.

fido

Что это?

В свое время суд разрешил эпплу так называться, потому что они занесли кому надо сколько надо.

Починил. А если серьезно, то apple - это яблоко, нет такой однозначной ассоциации, как с фидо, так что пример не совсем корректен)

Он не «забаженый». То, что он умеет только u2f, написано прямо на сайте в описании.

Компания Apple Corps была основана в январе 1968 года. Пол Маккартни предложил назвать свою фирму Apple Core, то есть «огрызок», но зарегистрировать компанию удалось лишь под слегка видоизмененным названием.

У «ливерпульской четверки» было смутное и своеобразное представление о том, чем должна заниматься их корпорация. Вроде бы — помощью начинающим творцам, всевозможным новаторским креативом. «Контролируемое безумие… в своем роде западный коммунизм». Так говорил Леннон. «Это попытка скрестить бизнес с удовольствием. Мы в удачном положении, нам больше не нужны деньги. Впервые в истории боссов не интересует прибыль. Мы уже исполнили все свои мечты и теперь хотим поделиться этой возможностью с другими». Так объяснял концепцию фирмы Маккартни.

В битловский Apple вошло несколько фирм. Главной была звукозаписывающая Apple Records. Кроме нее были Apple Electronics, Apple Films, Apple Publishing и даже Apple Retail, владевшая бутиком одежды и аксессуаров Apple. Планировалось создать целую сеть подобных магазинов, но первый просуществовал чуть больше полугода, принеся хозяевам £200 тыс. убытка. Второй и последний магазин того же профиля — Apple Tailoring (Civil and Theatrical) — также не просуществовал и года. Из всех подразделений успешной в плане бизнеса оказалась лишь Apple Records. Но и она в первую очередь прославилась не выпуском музыкальных новинок, а судебными тяжбами.

В 1976 году Стив Джобс, Рональд Уэйн и Стив Возняк, собиравшие на продажу первые персональные компьютеры, зарегистрировали компанию Apple Computer. Возняк писал в мемуарах, что, когда Стив Джобс предложил такое название, его первой реакцией было: «А как же Apple Records?»

Однажды Джордж Харрисон, листая журнал, наткнулся на рекламу чужой компании с подозрительно знакомым названием. В 1978 году Apple Corps подала на Apple Computer в суд, обвинив ее в нарушении авторских прав на торговую марку. Процесс закончился в 1981 году заключением мирового соглашения. Apple №2 выплатила Apple №1 компенсацию, сумма которой тогда официально не разглашалась. Позднее стало известно, что эта сумма крайне мала — $80 тыс. Кроме того, компании договорились о разделе сфер влияния. Фирма The Beatles не занимается компьютерным бизнесом, фирма Джобса не занимается музыкальным бизнесом.

Он не «забаженый». То, что он умеет только u2f, написано прямо на сайте в описании.

Так в нем и fido u2f работает через жопу.

В полноценной версии оно работает ровно как ожидается. А эти ключи вообще хрен знает как использовать.

Интересная история. Но я все равно остаюсь при своем, так как в случае с огрызком речь идет о давно существующем слове, означающем «яблоко», а в случае с фидо - слово «синтетическое», и других значений не имеет.

Так в нем и fido u2f работает через жопу

Как проявляется?

Ну таскать в карманах связку ключей

Ну они же маленькие. И с учётом количества сфер применения и стандартов связка будет небольшая.

и занимать пачку усб портов явно некошерно

Сложно представляю себе необходимость постоянно держать воткнутыми прям пачку, да даже и один. Воткнул, сделал дело, убрал.
Тем более, что постепенно простой u2f добавляется во всякие гугли, фейсбуки и ssh, связка стремится к цифре 1. А брать набор из стандартов в виде yubikey мне кажется несколько опрометчиво, только привыкнешь к тому где и как это работает, так тут же yubikey залегасит половину того, что сам ранее придумал.

Только если ты шланг. Что там на иконке, собачка?

Так в нем и fido u2f работает через жопу.

Попробуй вставлять его не в жопу, а в USB порт.

В полноценной версии оно работает ровно как ожидается. А эти ключи вообще хрен знает как использовать.

Заходишь на сайт, включаешь 2FA, прижимаешь палец, регистрируешь ключ, готово.

Заходишь на сайт, вводишь пароль, прижимаешь палец, готово.

Главное не перепутать, куда палец прижимать - туда, куда вставлено или же поблизости от USB порта.

Еще хочу обратить ваше внимание на смаркарты (и USB токены с интегрированным считывателем) от ESMART:

https://esmart.ru/products/informatsionnaya-bezopasnost/smart-karty-esmart-to...

https://esmart.ru/products/informatsionnaya-bezopasnost/usb-nositeli-esmart-t...

Они поддерживают неизвлекаемые ключи: RSA4096, которые по теоретическим прогнозам сопротивляются квантовому взлому в несколько десятков раз дольше, чем RSA2048.

Т.е. например, если RSA2048 взламывается за 1 день, то RSA4096 уже только за месяц, а за месяц относительно легко заменить (сгенерировать внутри токена) ключ на новый.

До недавнего времени на внутреннем рынке РФ наверно даже не было других вариантов смаркарт с RSA4096 кроме ESMART.

Понятно, что криптография может быть специально ослаблена в заранее известных местах, но вероятно аналогично и в любых других подобных устройствах.

Внутри них, насколько я понял, установлены китайские чипы достаточно старого года выпуска, вот это и смущает.

С одной стороны вроде бы хорошо, что не американская АНБ :) С другой еще вопрос хорошо ли, и вообще насколько они криптостойкие, и что там понапихано в проприетарные драйвера ...

Могли бы хотя бы заопенсорсить свои дрова для OpenSC, чтобы снять часть подозрений.

Если сегодня выбирать устройство для аппаратной защиты секретных ключей, то стоит рассматривать варианты только с открытыми прошивками. Для защиты от изменения исходных текстов открытых программ и электронной почты сегодня уже можно найти хорошие решения. Да они будут в 5-10 раз дороже китайского аналога с протрояненым закрытым блобом, но такова цена безопасности. Имея устройство с открытой прошивкой можно самостоятельно собрать прошивку повторяемой сборкой и убедится в идентичности бинарной прошивы.

https://www.nitrokey.com/news/2019/nitrokey-partners-gentoo-foundation-equip-developers-usb-keys

https://www.nitrokey.com/news/2021/nitrokey-equips-arch-linux-developers-usb-keys

https://solokeys.com

https://opentitan.org

Здесь пока пусто: https://ryf.fsf.org/products

Открытые прошивки и устройства инлгда имеют независимые аудиты безопасности, а некоторые даже официальный сертификаты безопасности.

https://www.nitrokey.com/news/2018/nitrokey-partners-linux-foundation-equip-all-linux-kernel-developers-nitrokey-usb-keys

убедится в идентичности бинарной прошивы.

А как например для Nitrokey PRO 2? Ведь он НЕ прошивается?

Кстати я бы не сказал, что Nitrokey PRO 2 сильно дороже местных Rutoken, JaCarta и т.п.

И где бы раздобыть более секурный (чем GNUK) OPEN SOURCE аппаратный токен с ed25519 на борту, желательно еще и одновременно с FIDO2 типа Youbikey.

китайского аналога с протрояненым закрытым блобом,

Как думаете, что именно в нем может быть протроянено?

Ослаблена безопасность например добавлением незадокументированного режима извлечения ключа буткитом прямо в рабочей системе (без физического доступа к смарткарте)?

Или даже активный троян, вплоть до манипуляции файловой системы пользовательского компьютера?

Можно ли как-то снизить риски путем помещения блоб драйвера в отдельную виртуалку и/или даже на отдельную железку (старенький одноплатник ARM v5-v7 )?

Как связать такое огороженное хранилище ключей со своей рабочей станцией? Вероятно есть какие-то софтовые решения для самодельного network HSM? Наверно внутри локалки можно было бы организовать доступ к такому HSM по другим смарткартам с меньшей длиной ключа? А ключ RSA4096 использовать только для внешних подключений. Но нужен какой-то проброс PCSCD до огороженной виртуалки.

А как например для Nitrokey PRO 2? Ведь он НЕ прошивается?

Там заявлено openhardware и opensoftware, надо смотреть как его прошивать.

И где бы раздобыть более секурный (чем GNUK) OPEN SOURCE аппаратный токен с ed25519 на борту, желательно еще и одновременно с FIDO2 типа Youbikey.

Поищи…

https://solokeys.com/ для авторизации пойдет.

Лично я категорически против одного девайса для секретного ключа PGP и авторизации на сайтах. Лучше иметь несколько разных. Если все на одном девайсе, при его взломе большие потери.

Там заявлено openhardware и opensoftware, надо смотреть как его прошивать.

:) пока никак

https://support.nitrokey.com/t/firmware-update-nitrokey-pro-2/2142

добавлением незадокументированного режима извлечения ключа

Это самое очевидное подозрение.

Можно ли как-то снизить риски путем помещения блоб драйвера в отдельную виртуалку и/или даже на отдельную железку (старенький одноплатник ARM v5-v7 )?

Нет. Риски снижает открытое железо и софт, независимый аудит. А любой закрытый блоб риск добавляет.

Риск снижает простота, а ненужные сложности добавляют риски.

Необходимо иметь простые инструменты которые дают гарантии безопасности. В контексте этой темы интересена система Integrity от opentitan.

Вероятно есть какие-то софтовые решения для самодельного network HSM?

Здесь надо начинать с технологий защиты памяти в OS. Например, для Linux есть YAMA.

Меня беспокоит не столько физическая кража смарткарты с ключами (что можно заметить) с последующим их извлечением через закладки , сколько незаметное бесконтактное извлечение ключа буткитом.

Бэкдоры в т.ч. для извлечения «неизвлекаемых» ключей ведь могут быть заложены в любую смарткарту, даже работающую через OpenSC?

Вероятно есть какие-то софтовые решения для самодельного network HSM?

https://www.nitrokey.com/products/nethsm

Не смотрел. Не было такой необходимости.

Пока присматриваюсь к:

1. Программная защита секретных ключей в памяти ядром OS.

2. Аппаратная защита секретных ключей от nitrokey или solokeys.

Бэкдоры в т.ч. для извлечения «неизвлекаемых» ключей ведь могут быть заложены в любую смарткарту, даже работающую через OpenSC?

Для этого есть: открытое железо, открытая прошивка, система повторяемых сборок прошивки, цифровые подписи прошивки и независимый аудит.

Технологии Integrity типа opentitan (RoT).

Nitrokey HSM не внушает доверия:

https://raymii.org/s/articles/Decrypt_NitroKey_HSM_or_SmartCard-HSM_private_k...

Для этого есть: открытое железо, открытая прошивка, система повторяемых сборок прошивки, цифровые подписи прошивки и независимый аудит.

А что мешает такой максимально открытой смарткарте иметь вторую секретную прошивку, которая легко и непринужденно вычитает FS первой прошивки? Этакий лайтовый IntelME для смарткарт.

Nitrokey HSM не внушает доверия:

https://raymii.org/s/articles/Decrypt_NitroKey_HSM_or_SmartCard-HSM_private_keys.html

На сегодняшний день это лучшее что есть!

Я не спец по nitrokey NetHSM. По их документации оно есть открытое. Функция экспорта зашифрованных ключей с nethsm кажись там есть заявлена. Не вкурсе используемого алгоритма шифрования бекапа. Это просто атака на алгоритм шифрования.

А что мешает такой максимально открытой смарткарте иметь вторую секретную прошивку,

Для этого разрабатываются технологии Integrity типа opentitan.

Они поддерживают неизвлекаемые ключи: RSA4096

А кто-то в последнем десятилетия не поддерживал? Тоже мне плюс.

This is not a vulnerability, zero day or exploit. The HSM provides a way to do secure backups of private key material and we utilize that in this article. To decrypt the keys you need to have all the DKEK files used when the HSM was initialized, know all the DKEK passwords and have access to the HSM itself.

You can prevent decryption by not setting up a DKEK, thus using the random internal DKEK of the HSM.

А кто-то в последнем десятилетия не поддерживал? Тоже мне плюс.

Rutoken до недавних ECP3. JaCarta до v2.

А ESMART Token со своим RSA4096 появился намного раньше их, что удивительно и подозрительно.

А что мешает такой максимально открытой смарткарте иметь вторую секретную прошивку,

Ты имеешь ввиду завирусяченую прошивку?

Пользователь должен:

1. Проверять цифровую подпись прошивки.
2. Желательно собирать прошивку с проверенных исходников системой повторяемые сборок и сверять результат с установленной в устройство прошивки.

которая легко и непринужденно вычитает FS первой прошивки? Этакий лайтовый IntelME для смарткарт.

В ключах одна прошива, не берите ключи с Китая.

Ты имеешь ввиду завирусяченую прошивку?

Нет, я имею ввиду дополнительную прошивку внутри смарткарты вероятно на дополнительном микрокомпьютере в придачу к основному или подмена той прошивки, которую ты якобы прошил (хотя это относительно легко проверить кастом модами).

Суть в том, чтобы с файловой системы смарткарты ключи могла бы параллельно читать еще одна прошивка внутри смарткарты, про которую мы не знаем. Так же как IntelME может незаметно читать любые (или нет?) области оперативки основного компа.

В ключах одна прошива, не берите ключи с Китая.

Охотно верим, просто паранойя.

Ну явно имеется в виду аналог интела и амд с их отдельными зондами на каждой материнке. Tpm. Ты свои ключики, а Байден и Си Цзиньпин пин уже все видят.. .