使用Yubico PIV Tools和YubiKey PIV Manager,我可以将我的客户端 TLS 证书加载到 PIV 插槽中,并将其用于 Firefox 中的身份验证。这很棒。然而...
有什么办法可以防止导出PIV的私钥?据我所知,PIV 管理密钥仅保护设备免遭修改,但对保护包含的内容免于导出没有任何作用。
如果这是准确的,YubiKey 似乎并没有真正用作 PIV 2FA 设备,因为 2-factor 假定“你拥有的东西”,并且我将设备插入的任何机器(或在后台运行的软件)都可以功能齐全的软拷贝。
我在 Yubico 论坛上交叉发布了这个问题。
下面是我如何演示这个问题:
YubiKey 不允许导出私钥,只允许导出公共证书。相反,我正在演示(我所看到的)YubiKey PIV Manager 中的一个错误。它不会正确删除私钥。
首先,虽然我要指出我认为 YubiKey 中的一个错误,但我不得不说,Yubico 提供的最终用户支持给我留下了非常深刻的印象。我引用:
我们尽力帮助提交支持案例的每个人。就连隔壁的白发奶奶
由于“删除证书”并没有从 YubiKey 中删除私钥,因此重新加载公钥(可以由 YubiKey 导出)会导致功能性 PIV 接口。
我能够证明其他两种方法,实际上不清除私有密钥:
当我执行以下操作时,我无法进行身份验证:
我最近突然意识到这是最简单的方法。只需在“YubiKey PIV 管理器”中按下几个按钮。
当我执行以下操作时,我无法进行身份验证:
“重置”我的 yubikey PIV 模块
yubico-piv-tool -areset
奇怪的是,我首先锁定了我的 PIN 和 PUK。运行以下命令并输入错误输入超过 3 次的最简单方法(在 PUK 的情况下,您必须输入有效的新 PIN 和错误的 PUK。呃。):
# Use to lock out PIN
yubico-piv-tool -averify-pin
# Use to lock out PUK
yubico-piv-tool -aunblock-pin
考虑到重置私钥的其他两种方法是多么痛苦,“删除证书”是迄今为止从设备“擦除”证书的最简单方法。没有任何迹象表明其他两种方法是必要的。
Yubico 建议“重置”是在将设备交给另一个用户之前的推荐操作。
就个人而言,我认为这是一个错误,但我不知道 Yubico 是否已售出。
这是我设想的糟糕场景:
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句