Yubikey: erinevus redaktsioonide vahel

Sissejuhatus

Mõisted

• TOTP
• HOTP
• PIV
• MFA
• 2FA
• CTAP
• CTAP2
• FIDO (Fast Identity Online)
• FIDO2
• U2F
• OAUTH (Open Authorization)
• OAUTH2
• USB-A
• USB-C
• NFC
• Yubico Authenticator
• YubiCloud

Tööpõhimõte

Tundub, et Yubikey seadmel on mitu erinevat nö töörežiimi

• lihtne TOTP/HOTP parool - kasutuskoht ja yubikey teavad ühist saladust, lisaks kasutatakse kas aja või kasutuskordade põhist ühist parooli/pin'i (sellisel kasutusel mingit suuremat avaliku võtme põhist krüptot ei toimu) - põhimõtteliselt sama loogika, millel põhineb nt Google Authenticator või FortiToken mobile token
• FIDO2 - tundub, et see on kõige naturaalsem ja kaasaegsem yubikey kasutus (nn passwordless lahendus toetub sellele) - asjasse puutub avaliku võtme krüpto
• PIV - yubikey töötab teatud mõttes sarnaselt id kaardile

Väited

• mitmes režiimis paistab yubikey käitumine tavalise füüsilise klaviatuuri käitumisena - yubikey seadme nupu peale vajutamisel tekib kursori asukohta tekst (nt otp parool on iseloomulikul kujuga 'vvlijleuurvtirfckkehdineubgktiijkivnkcncnjet', static password on literally see mis on väärtuseks salvestatud ja ei muutu)
• millises režiimis parasjagu yubikey slot on saabki ehk hõlpsasti hinnata selle alusel, mis kursori asukohta tekib

Riistvara

Tundub, et Yubikey ei ole ainus sarnase lahenduse tootja, aga samuti tundub, et ta on üks tublimaid (riistvara saadavud, riistvara tugi jms), võimalikud alternatiivid on

• Onlykey
• Nitrokey
• Solokey
• Thetis

Yubikey kasutamine VNC põhisel remote desktop arvutil

Väited

• Yubikey saab Proxmox PVE virtuaalsele arvutile ühendada külge Hardware -> USB -> ... abil
• Yubikey kui klaviatuuri sisestused paistavad mitte vnc ekraanil, aga PVE webgui konsoolil
• konsoolile ilmunud sisestused (nt otp kood) saab kopeerida virtuaalse arvuti peal programmiga screendump

Yubico OTP

TODO

Tööpõhimõte

TODO

Yubico OTP key upload

Uue OTP materjali tekitamiseks sobib kasutada programmi Yubico Authenticator

• lülitada sisse OTP Application
• valida Slot
• pressida Yubico OTP

ning paistab sellin vorm

Kui vaikimisi pakutud Public ID väärtus ei sobi, saab ise konstrueerida nt sellise Python skriptiga

imre@moraal:~$ cat otp-pi.py 
import secrets

MODHEX = 'cbdefghijklnrtuv'
public_id = ''.join(MODHEX[secrets.randbelow(16)] for _ in range(12))
print(public_id)

imre@moraal:~$ python3 otp-pi.py
hkcgjvtfhnbk

imre@moraal:~$ python3 otp-pi.py
jfiiigjgchgt

Uue nö OTP materjali yubicloud süsteemi üleslaadimiseks sobib kasutada sellist vormi, aadressil https://upload.yubico.com/

kus

• Yubico OTP teksti esimesed 12 sümbolit esitavad public id väärtuse

Tulemusena öeldakse õnnestumisel

Yubikey playground

Yubikey playground kasutamiseks tuleb tekitada sinna kasutaja, edasi paistab sisselogimine nt selline

kus sisselogimisel on neli võimalust

• Yubico OTP - käesoleval juhul kasutatakse seda

WebAuthn

Chrome brauseris on nö virtuaalne webauthn authenticator environment, avada nt veebikoht https://webauthn.io/ ning samas brauseri aknas

Dev tools -> More tools -> WebAuthen

Seejärel pressida veebikohas register jne, peaks paistama sarnane pilt

kus

• TODO

Sarnaseid webauthn testimise veebikohti on teisigi, nt

• https://try-webauthn.appspot.com/
• https://demo.yubico.com/webauthn-technical/registration

SSH - FIDO2

Krüptomaterjali tekitamine

Krüptomaterjali vaatlemine Yubico Authenticator rakenduse abil

TODO

Järgmises arvutis krüptomaterjali kasutamine

key forwarding

OpenBSD login

TODO

• https://nixers.net/Thread-OTP-Authentication-with-the-YubiKey-on-OpenBSD

FortiAuthenticator

• https://community.fortinet.com/t5/FortiAuthenticator/Technical-Tip-How-to-import-YubiKey-to-FortiAuthenticator/ta-p/192277
• https://www.fortinet.com/solutions/enterprise-midsize-business/identity-access-management

Dovecot

• https://doc.dovecot.org/2.3/configuration_manual/authentication/oauth2/

Proxmox

• https://pve.proxmox.com/wiki/YubiKey

QEMU

• https://www.qemu.org/docs/master/system/devices/usb-u2f.html

YubiHSM 2

• https://developers.yubico.com/YubiHSM2/

IAM

TODO

• https://www.ory.sh/
• https://www.authelia.com/
• https://www.keycloak.org/
• https://www.okta.com/

Kasulikud lisamaterjalid

• https://cryptsus.com/blog/how-to-configure-openssh-with-yubikey-security-keys-u2f-otp-authentication-ed25519-sk-ecdsa-sk-on-ubuntu-18.04.html
• https://functionallyparanoid.com/yubikey-all-the-things/
• https://www.youtube.com/watch?v=EREi8u6Ci5I
• https://developers.yubico.com/WebAuthn/
• https://medium.com/web-security/understanding-oauth2-a50f29f0fbf7
• https://www.yubico.com/works-with-yubikey/catalog/?sort=popular
• https://github.com/descope/virtualwebauthn
• https://www.yubico.com/ee/store/compare/?srsltid=AfmBOorJPMsFUlQ9XpOIItt8VmOwDM0bKvFRvpSHw1GHR3MkgLFsu7u5
• https://fidoalliance.org/