我们来聊聊信息安全:Yubikey 4 简介与配置

2016-08-10 14:42:03 38点赞 171收藏 48评论

从2014年知道Yubico这个公司,心里就长下了一棵草。一直关注这方面的信息,以至于Yubikey 4刚发布时毫不犹豫就买了。已经使用半年多的我突然想到可以分享下这个。 刚才看了下张大妈这里就找到一篇分享,基本的介绍也都有了。我这里再多说几句,作为补充。 文章枯燥,基本上没有图。

新奇物:Yubico FIDO U2F key能干什么,顺便聊下香港转运开头原本不是这个,2月基本写好了,那时还没有“**”,但形容这篇东西太贴切了,后来写了几篇都上了这个还丢着。写上面的话,意思是大家看完后,轻轻喷,就当我玻璃心好了。不扯远,以下正文:YubicoFIDOU2Fkey介绍:可能前几天大家看了这篇(这里是原本开头,当然大家要以那时候的视角来看下面的文章 176 评论94 收藏536查看详情

Yubikey, 简单来说,就是一个支持OTP、公钥加密签名、U2F协议的硬件认证设备

目前Yubico官方的产品

Yubikey Yubikey

我们来聊聊信息安全:Yubikey 4 简介与配置

FIDO U2F Key: 功能单一 国内也有很多厂商可以实现

Yubikey NEO: 带NFC功能 **利器(个人认为这里的NFC无关紧要)

Yubikey 4 Nano: 很小,看官方视频 好像插入USB口以后 一般就不用取下来了 真的很小

所以我选择了Yubikey 4

简单说下功能,YubiKey 可以同时工作在三种模式:

传统键盘设备模式: Yubico OTP, Challenge-Response, 静态密码, HOTP 等, 这个模式又有两个slot,对应于短按和长按操作,生成两种密码

Smartcard 模式: OpenPGP card 和 PIV card,可以用来安全地保存 RSA 私钥

U2F 模式: 一种两步认证协议,Google, Dropbox, Github 等网站都支持

以上提到的三个功能是可以同时使用的,相互之间并不冲突。

Yubikey 4Yubikey 4

Yubikey 4 NanoYubikey 4 Nano

Yubikey 4 NEOYubikey 4 NEO

Yubikey FIDO U2F KeyYubikey FIDO U2F Key

在我的影响下,身边同事也开始接受并使用Yubikey, 上次同事们一起团了10多个,货刚收到就被一抢而空,还好我拍了些照片。

小编说图片没有实物图,来来来 那我就上传几个实物图来。

Yubikey 4 实物图Yubikey 4 实物图

Yubikey 4 实物图2Yubikey 4 实物图2

Yubikey 4 Nano版 真的很迷你Yubikey 4 Nano版 真的很迷你

零售包装  非常简陋零售包装 非常简陋

零售包装零售包装

Yubikey NEO 带NFC功能 Yubikey NEO 带NFC功能

Yubikey 4 和 Yubikey NEO对比Yubikey 4 和 Yubikey NEO对比



传统键盘设备模式(HID)

这部分比较简单,使用 yubikey-personalization-gui 即可进行图形化配置.

HID能够模拟键盘设备向电脑输入一串生成的密码,兼容性最好。其中还包含多种模式:OTP、Static、Challenge-Response、HTOP,

OTP: KEYID+AES(AESKEY, SECRET, COUNT++)即生成的密码包含明文的KEYID和对称加密的SECRET和计数器。第一次使用前需要把KEYID,AES_KEY,SECRET提交至验证服务器(Yubico提供或者自己搭建),之后应用程序每次通过服务器验证密码的可靠性(解码后SECRET对应、COUNT增大(防止重放攻击))。

Static: 静态密码。顾名思义,每次生成固定的一串密码(并没有什么用)。

Challenge-Response: HMAC(SECRET, INPUT)即可以通过HID接口给定一个输入,输入HMAC的计算结果。输入需要本地代码实现。

HTOP: HMAC(SECRET, COUNTER++)算法与Challenge-Response类似,然而使用累加计数器代替了输入,并且HTOP是一个标准协议,许多网站和设备都兼容该标准。 在YubiKey中包含两个configuration slot,每一个slot可以单独配置以上模式中的其中一种,通过短触和长触来选择输入。

由于 Yubico OTP 需要认证服务器(默认是 yubico cloud)做认证,所以如果你修改了 Yubico OTP 配置的话,还需要把密钥等信息上传到 Yubico Cloud, 点击 这里 有一份图文并茂的官方文档。

OpenPGP Card

如果你使用 GPG 来做加密和签名,那么 OpenPGP Card 可以进一步加强安全性和便利性。 YubiKey可以作为标准的OpenPGP Smart Card使用,用来存储PGP私钥(设备中私钥是可写不可读的,解密/签名操作在设备上完成)。

首先你需要设置一下 YubiKey。

gpg --card-edit # 打开设置

首先敲 admin 命令打开管理模式,可以使用 help 命令查看帮助,然后用 passwd 命令设置 PIN, Admin PIN 和 Reset Code, 可以是字母和数字,PIN 的默认值是 123456,Admin PIN 的默认值是 12345678。请 牢牢记住 这三个密码

PIN 码是平时最常用的密码,如果输错三次就会被锁定,需要使用 Reset Code 来解锁,Reset Code 输错三次,只能物理重置。 Admin PIN 是管理卡信息(如添加密钥、修改密码)使用的密码,不能短于 8 位,输错三次则管理功能被锁定,只能物理重置。 记住,千万不要在需要输入 Admin PIN 的时候输入短于 8 位的密码,这样会直接锁定。 别怪我没提醒你啊!!!

一个 GPG 密钥包含多个 RSA 密钥对,一对主密钥,若干对不同用途的子密钥,一对密钥包括一个公钥和一个私钥。 一般 gpg --gen-key 得到的,就包括一对主密钥,可以用于签名;一对子密钥用于加密。

不推荐把主密钥放进 YubiKey 里,因为主密钥还有一个重要功能就是维持社交关系,时间流逝,子密钥可能经常变化, 而别人只需要记住你的主密钥ID就可以随时更新。如果把主密钥放进 YubiKey 里,万一丢了,那么你就无法证明你是你了。我们来聊聊信息安全:Yubikey 4 简介与配置

U2F 两次认证

我们来聊聊信息安全:Yubikey 4 简介与配置

现在很多网站都提供两次认证加强安全性,比如 Google, Dropbox 等。 常见的两次认证是使用 Google Authenticator, Duo Mobile 等工具产生 TOTP (Time-based One-Time Password), 每次登陆的时候都要开手机运行App,总还是麻烦了些,而 U2F 则可以通过插入 YubiKey 并轻触按钮完成认证。

国内的网站就不要想了!!!

目前只有 Google Chrome 浏览器完全实现了 U2F 支持,Firefox 需要安装插件 。 鉴于YubiKey实现的功能的多样性,它能应用/折腾的场景还是非常丰富的,举例来说:

用作网站的两步验证,比如Google,Dropbox,Fastmail等 用于操作系统的登陆,官方提供了PAM模块支持Linux和OS X 使用OpenPGP签名、解密文件 ……

展开 收起
48评论

  • 精彩
  • 最新
  • 说实话 没看懂 干嘛用的? [尴尬] [尴尬] [尴尬]

    校验提示文案

    提交
    不好意思 刚看到 这个就是信息安全领域的安全产品 功能多 最常用的就是二次验证 比较好理解的就是短信验证码这种二次验证方式,而这个东西是基于硬件的

    校验提示文案

    提交
    收起所有回复
  • 不知其所言,我out了 抱歉

    校验提示文案

    提交
    多了解就好 确实小众

    校验提示文案

    提交
    收起所有回复
  • 我原来以为只有我没看懂…

    校验提示文案

    提交
    不好意思 写的很生硬吗 还有很多技术性的没写呢

    校验提示文案

    提交
    太技术了,一般在这闲逛的就想知道这玩意能干啥

    校验提示文案

    提交
    收起所有回复
  • 我平常只是改了个网银盾用于veracrypt。。。。顺便密码放在keepass里面,一个分区Bitlocker而已。PGP,RSA这种。。我还是不太适应233333PS:嘴炮之神-龙母好评

    校验提示文案

    提交
    神功盖世啊 佩服佩服

    校验提示文案

    提交
    噗,神功不敢当2333话说我笔记本没有TPM没法全盘bitlocker加密。简直尴尬23333

    校验提示文案

    提交
    还有3条回复
    收起所有回复
  • ……晒这种小众技术的不能给个解释么…

    校验提示文案

    提交
    什么解释呢 我也就是想科普下 我已经影响了10几个同事加朋友 入了这个坑

    校验提示文案

    提交
    收起所有回复
  • 干嘛的这是?

    校验提示文案

    提交
    信息安全领域的硬件产品 很小众 国内用的更是少 而国内的网络服务都不支持

    校验提示文案

    提交
    属于硬件加密?当做进入系统的工具还是硬盘数据加密还是网络登陆凭证呀?

    校验提示文案

    提交
    还有4条回复
    收起所有回复
  • 好东西,不过并用不上 [喜极而泣]

    校验提示文案

    提交
    谢谢你的眼光 前景无限 当下国内来说用处确实不大 我只是希望更多人关注信息安全 关注自己的信息安全

    校验提示文案

    提交
    收起所有回复
  • 相当于银行的U盾,这样比喻大家就好理解了。

    校验提示文案

    提交
    NO NO NO 功能很多啊 我文章都写了 U盾能干啥 完全是累赘

    校验提示文案

    提交
    收起所有回复
  • 不明觉厉,来给龙妈点个友情赞吧 [喜极而泣] [喜极而泣]

    校验提示文案

    提交
    谢谢哈 听说明天只有8集 然后后年就结束了啊

    校验提示文案

    提交
    收起所有回复
  • 想买一个..

    校验提示文案

    提交
    还要吗 刚好手里现在还有俩

    校验提示文案

    提交
    汗 完了几个月才看到 有的话要一个

    校验提示文案

    提交
    收起所有回复
  • 没看懂…感觉很厉害的样子 [脸红] [脸红]

    校验提示文案

    提交
  • 虽然不是很懂 但看上去很厉害的样子

    校验提示文案

    提交
  • 应用场景太少,尤其是国内更没支持

    校验提示文案

    提交
  • 没啥卵用啊

    校验提示文案

    提交
  • 干啥用的??

    校验提示文案

    提交
    冠希哥当年要是有这神器就能一直嗨皮到如今了啊

    校验提示文案

    提交
    人家开创了一个时代

    校验提示文案

    提交
    还有1条回复
    收起所有回复
  • 我也没看懂 [皱眉]

    校验提示文案

    提交
  • 现在国内大厂商,二次认证也基本上是必需,比如otp各种令牌 手机短信 邮箱验证,合着在楼上的***眼里这些都不是二次验证?顺便otp算什么狗屁限制出口技术,keepass随便一个插件就能生成,说到底就是一串种子密钥经过算法加密罢了。

    校验提示文案

    提交
  • 很认真的反复看了两遍,终于 还是没看懂

    校验提示文案

    提交
  • 确实挺有用,但支持感觉还不够,再丰富些就好了,话说这玩意儿丢了麻烦死了

    校验提示文案

    提交
    国内确实不支持的 因为国内的企业大家都懂 还有,这个小玩意 貌似美国政府也列为禁止出口的东西 可能是技术的原因

    校验提示文案

    提交
    是的 所以尽量不要丢 我用了两个 [哼小曲]

    校验提示文案

    提交
    收起所有回复
  • 类似网银u盾吗?

    校验提示文案

    提交
提示信息

取消
确认
评论举报

相关文章推荐

更多精彩文章
更多精彩文章
最新文章 热门文章
目录
171
扫一下,分享更方便,购买更轻松