Un dispositivo FIDO U2F può essere utilizzato per la crittografia simmetrica?

7

Come ho capito, U2F è utilizzato principalmente per l'autenticazione. Utilizza lo schema challenge-response per verificare se il dispositivo utilizzato per l'accesso è lo stesso dispositivo utilizzato durante la registrazione in base al segreto condiviso. Quindi il risultato del processo è una risposta sì / no.

C'è un modo per utilizzare il dispositivo U2F per crittografare i dati in modo simmetrico, come un gestore di password locale?

    
posta atok 17.11.2015 - 19:37
fonte

2 risposte

5

No, le chiavi specificate da U2F non sono in grado di eseguire operazioni di crittografia simmetrica. Sono progettati solo per fornire una chiave pubblica, un certificato di attestazione e i dati di firma per il processo di richiesta / risposta con la propria chiave privata interna. Le specifiche possono essere lette su link

    
risposta data 17.11.2015 - 23:52
fonte
1

No, non è possibile ottenere alcuni valori costanti / byte dal dispositivo U2F che saranno univoci per un particolare dispositivo e potranno essere utilizzati successivamente come chiave di crittografia, principalmente a causa della Privacy di FIDO: "i dispositivi identificativi rivelerebbero un unico identificatore di un dispositivo su origini non correlate che violano la privacy dell'utente ". (c) Specifiche FIDO.

In un'altra mano, questo è il motivo per cui anche la funzione di firma U2F non può essere utilizzata per ottenere un valore costante che può essere utilizzato successivamente come chiave di crittografia:

  1. Il dispositivo U2F firma un Digest creato da Client e Device (U2F aggiunge il contatore delle firme al Digest). Quindi ogni nuova firma sarà unica anche se il Cliente fornisce gli stessi dati due volte.
  2. Quando il dispositivo U2F genera un nuovo KeyHandle (coppia ECDSA) utilizza il proprio valore casuale. Quindi non genererà mai lo stesso KeyHandle anche se fornisci gli stessi dati per la seconda richiesta.

Dalla filosofia FIDO, la chiave U2F progettata principalmente per garantire un trust tra il servizio di autenticazione e il client remoto. Quando si desidera adottare la chiave U2F per altri scenari di autenticazione / sicurezza, prestare attenzione a una dozzina di attacchi che possono essere applicati.

    
risposta data 21.04.2018 - 09:57
fonte

Leggi altre domande sui tag