Какая спецификация ключа безопасности необходима для совместимости с WebAuthN?

Question

Какая спецификация ключа безопасности необходима для совместимости с WebAuthN?

Можно ли уже купить ключ аутентификации в стиле USB, совместимый с WebAuthN?

Если да, какой технический стандарт / спецификацию он должен поддерживать?

Согласно пресс-релизам, таким как это, это уже возможно, но я хотел бы знать, пытается ли это Юбико быть первым на рынке и выпускает что-то, что может быть несовместимо, или же это ключ, на который ссылается пресса релиз совместим, потому что он реализует стандарт FIDO2.

0

security yubikey

Источник

Rich 25 апр '18 в 12:17

2 ответа

Другие вопросы по тегам security yubikey

grawity 25 апр '18 в 15:58 2018-04-25 15:58 · Answer 1 · 2018-04-25 15:58

Насколько я понимаю, основываясь на сообщении в блоге Адама Лэнгли, существует два разных уровня:

Протокол (API), используемый веб-сайтами для доступа к токену через браузер. В настоящее время веб-сайты используют "FIDO U2F JavaScript API", и именно этот API заменяет WebAuthn.
Протокол, используемый браузерами (и другим локальным программным обеспечением) для связи с самим токеном. В настоящее время ключи FIDO U2F используют протокол CTAPv1 ("Протокол клиент-аутентификатор"), но новые устройства будут использовать CTAPv2. Когда Юбико говорит о "FIDO2", они имеют в виду этот протокол.

Хотя обновления связаны друг с другом (CTAPv2 добавляет новые функции, которые будет использовать WebAuthn), уровни по-прежнему в основном независимы, а протоколы в основном обратно совместимы. То есть:

По сравнению с CTAPv1 основное обновление в CTAPv2 состоит в том, что устройства будут иметь больше места для хранения, чтобы их можно было использовать в качестве основного фактора аутентификации (и, возможно, других функций).
Тем не менее, существующие части U2F, похоже, остаются такими же, как в CTAPv1 (более или менее токен просто должен делать цифровые подписи).
По сравнению с FIDO U2F API наиболее важным изменением в WebAuthn является то, как он генерирует идентификаторы ("AppID") для "проверяющей стороны", то есть веб-сайта.
Однако токены не заботятся о внутренней структуре идентификатора (он должен совпадать только), и в WebAuthn даже есть положения, позволяющие использовать существующие регистрации FIDO U2F. (Новые регистрации, сделанные через WebAuthn , не будут работать с FIDO U2F.)

Поэтому, если вам нужен только 2-й фактор (U2F), кажется, что все существующие модели токенов будут по-прежнему работать с WebAuthn.

Luke Walker 25 апр '18 в 15:53 2018-04-25 15:53 · Answer 2 · 2018-04-25 15:53

FIDO2 - это открытый стандарт аутентификации, который состоит из спецификации веб-аутентификации W3C (WebAuthn) и протокола клиент-аутентификации (CTAP). CTAP - это протокол прикладного уровня, используемый для связи между клиентом (браузером) или платформой (операционной системой) с внешним аутентификатором ( ключ безопасности от Yubico). WebAuthn - это API, позволяющий клиенту или платформе создавать и использовать учетные данные на основе открытого ключа с проверяющей стороной. Yubico является основным участником протокола CTAP, а спецификация размещена в FIDO Alliance.