【问题标题】:How does "Security Key by Yubico" identify each key?“Yubico 的安全密钥”如何识别每个密钥?
【发布时间】:2020-07-16 05:52:57
【问题描述】:

根据下面this page 中的句子,“Yubico 的安全密钥”没有序列号。

序列号在所有 YubiKey 型号中都是唯一的,但没有序列号的安全密钥除外。

但是,在Yubico Demonstration Site 中,同一个“Yubico”可以仅在 1 个密钥中注册安全密钥。
所以,我认为“Yubico”有一些机制可以在不使用序列号的情况下识别每个“Yubiko”。
那么,webserver中的authenticator如何识别每一个没有序列号的key呢?

【问题讨论】:

    标签: fido-u2f yubico


    【解决方案1】:

    在 U2F 协议中找到答案(公钥凭证和证明元数据):

    公钥凭据

    1. 在注册仪式期间,安全密钥会生成一个公钥加密密钥对。私钥永远不会离开安全密钥,公钥会在仪式结束时返回给网站。该网站存储此凭据以供以后进行身份验证。
    2. 在身份验证过程中,网站会发送允许的用户注册公钥凭证列表。安全密钥将生成一个 U2F 断言,该断言返回网站。然后,该网站将验证该断言是否已由私钥签名,并检查所有数据是否符合预期。

    查看overview of the U2F protocol 了解更多信息。

    证明和元数据

    每个 Yubico 设备都有一个由 Yubico 的根 CA 签署的证明证书。网站可以通过与根 CA 核对来验证 YubiKey 的真实性。该证明证书具有可以识别身份验证器模型的元数据。此证明证书遵循 U2F 隐私要求,并且没有任何可用于单独识别特定安全密钥的元数据。

    详细了解Yubico U2F attestation and metadata。

    【讨论】:

    • 谢谢,卢克!我为迟到的回复道歉。现在我明白了服务器可以通过使用 Yubico 中的私钥创建的密钥对来识别每个 Yubico。
    猜你喜欢
    • 2019-06-27
    • 1970-01-01
    • 2020-04-15
    • 1970-01-01
    • 2014-10-18
    • 2015-07-04
    • 2013-08-09
    • 2013-09-12
    相关资源
    最近更新 更多