1

Onderwerp: Hardware encryptie, wie heeft ervaring er mee?

We zijn met de stichting de authenticatie methodes aan het aanpassen. Het een en ander zal gaan gebeuren met Yubikeys en GPG smartcards. Heeft iemand er toevallig ervaring mee en weet eventuele handige tips en eventuele valkuilen?

https://dump.3x3.work/perma/Nu7odia7au3jeekoongu/keys.jpg

ACAB: All computers are broken. https://medium.com/message/everything-i … e5f33a24e1 "I've decided that you need gray hair and hemorrhoids to be a consultant.
The gray hair makes you look distinguished & the hemorrhoids make you look concerned."

Re: Hardware encryptie, wie heeft ervaring er mee?

Ik gebruik al twee jaar een U2F Yubikey voor verschillende websites, werkt prima!

Re: Hardware encryptie, wie heeft ervaring er mee?

Ik kan je helaas geen tip geven want ik heb er geeen enkele ervaring mee. Maar ik ben wel geinteresseerd in de materie. Zou je ons hier op de hoogte willen houden van je bevindingen?

Hoe gaat die authenticatie met zo'n USB ding dat ik zie liggen? Moet je dat in de computer doen om toegang te hebben tot de PC? Of is het letterlijk de sleutel van de deur?

Als je voor een verdieping niet de diepte in moet, maar de hoogte, waarom heet het dan ....

Re: Hardware encryptie, wie heeft ervaring er mee?

MeneerJansen schreef:

Hoe gaat die authenticatie met zo'n USB ding dat ik zie liggen? Moet je dat in de computer doen om toegang te hebben tot de PC? Of is het letterlijk de sleutel van de deur?

U2F keys genereren een key pair per dienst. Versimpeld is de werking als volgt (ik neem GitHub als een voorbeeld):

1. Je registreert je U2F key bij GitHub.
2. De key genereert een key pair en stuurt de public key naar GitHub en slaat private key op in een slot dat specifiek voor die site is [1].
3. De volgende keer dat je bij GitHub wilt inloggen, genereert GitHub wat materiaal en encrypt het met je public key.
4. Je U2F key decodeert het met de private key voor die site en stuurt het materiaal naar GitHub als bewijs dat je daadwerkelijk zegt wie je bent.

U2F is veilig tegen phishing e.d., omdat:

- Alleen jouw U2F key de private key bevat en deze niet is te extraheren. Dus alleen jij, eigenaar van de specifieke U2F key, kan het 'raadsel' van GitHub (materiaal die gecodeerd is met je publieke key ontraadselen).
- Dit alleen zou man-in-the-middle (MITM) aanvallen nog mogelijk maken: een MITM stuurt het raadsel door naar jou, jij geeft het antwoord en de MITM doet alsof het zelf het antwoord gevonden heeft.
- De private key wordt ondermeer geselecteerd op basis van de 'Origin' (een veld in het certificaat). De MITM heeft niet het certificaat voor github.com en kan dus niet de juiste private key 'activeren'.

[1] Veel U2F keys, zoals Yubi's U2F slaan niet daadwerkelijk de private keys op. Ze hebben één apparaat-specifieke sleutel. De genereerde private key wordt versleuteld met deze sleutel en dan ingebed in de informatie dit bijv. GitHub opslaat.

Overigens kun je U2F ook voor andere toepassingen gebruiken, zoals SSH of om lokaal op een machine in te loggen.

Re: Hardware encryptie, wie heeft ervaring er mee?

devtroll schreef:

We zijn met de stichting de authenticatie methodes aan het aanpassen. Het een en ander zal gaan gebeuren met Yubikeys en GPG smartcards. Heeft iemand er toevallig ervaring mee en weet eventuele handige tips en eventuele valkuilen?

Ik moet het nog maar even noemen: OTP, HOTP, en TOTP beschermen niet of nauwelijks tegen phishing of MITM aanvallen.

Re: Hardware encryptie, wie heeft ervaring er mee?

Klopt. Een taak die ik al heel fijn gebruik is een fysieke handeling om mijn desktop te locken. Soms zit ik in een ouderwetse TTY of in een vmware terminal. Dan werken al mijn hotkeys niet. Meer dan eens betrapte ik mij er op dat mijn scherm niet gelocked was bij terugkomst. Kwalijk, zeker als je dat aantreft op een hackerscongress. Bij het fysiek eruit halen van de Yubikey schopt hij automatisch mijn SSH keys uit de useragent en zet xscreensaver aan. Dit proces is nu 'geautomatiseerd' a.k.a. muscle memory. Geen ongewenste unlocked sessies voor mij. Ander voordeel, nadat ik een keer mij zelf had buitengesloten van mijn huis: Sleutels zitten altijd in mijn zak tongue.

ACAB: All computers are broken. https://medium.com/message/everything-i … e5f33a24e1 "I've decided that you need gray hair and hemorrhoids to be a consultant.
The gray hair makes you look distinguished & the hemorrhoids make you look concerned."

Re: Hardware encryptie, wie heeft ervaring er mee?

Artikeltje over hoe een YubiKey gebruikt kan wordeno om je screen te locken: https://maikel.tiny-host.nl/it/yubi.php

ACAB: All computers are broken. https://medium.com/message/everything-i … e5f33a24e1 "I've decided that you need gray hair and hemorrhoids to be a consultant.
The gray hair makes you look distinguished & the hemorrhoids make you look concerned."