WebCrypto, SOP e Yubikeys

0

Ho seguito alcune discussioni sulla mailing list di WebApp Security riguardante le politiche WebCrypto e SOP (oltre 100 messaggi). Una delle cose che è scaturita dalle chiavi contenute in WebCrypto non erano enumerabili perché potevano essere utilizzate come super cookie e questo poteva avere conseguenze negative per la privacy. Questo è stato discusso nella lista WebCrypto qualche tempo fa, quindi non è una novità. Il salto di solito viene reso negativo in tutti i casi (che spesso è).

(Come esempio contrario a "è sempre cattivo", di solito "non mi interessa" di tutti i bug tracker a cui sono abbonato. Se posso usare una chiave pubblica per tutti loro per autenticare, allora è grandioso .)

WebCrypto è essenzialmente un livello software e ha un numero infinito di chiavi (alcune mani che rinunciano). Ho quindi iniziato a pensare al mio Yubikey ... Uno Yubikey ha uno spazio finito, quindi ha solo un numero limitato di chiavi.

Quante chiavi pubbliche possono generare e mantenere un Yubikey?

In che modo un YubiKey protegge la privacy in quanto le organizzazioni (origini) possono colludere e confrontare le chiavi pubbliche registrate con loro?

(Non mi sorprenderebbe se un governo o uno dei suoi agenti autorizzati o partner iniziasse a raccogliere le chiavi pubbliche e le rendesse ricercabili in un database, proprio come Little Black Blox fa per le chiavi private).

    
posta jww 27.09.2015 - 12:16
fonte

1 risposta

1

Fai riferimento alla documentazione che dice che può supportare "numero illimitato di credenziali U2F". Suppongo che tu stia facendo riferimento alle credenziali U2F poiché si basa sulla chiave pubblica / privata mentre l'altra OTP si basa sulla chiave simmetrica (che è limitata a 1-2 slot). Ora l'ovvia limitazione di ciò è la memoria e l'età di yubikey.

Nella maggior parte degli scenari di distribuzione standard, si genererà una chiave pubblica-privata univoca per ciascun sito in cui si registrerà la yubikey. In questo modo la chiave per google e dropbox sarà diversa. Se google & dropbox desidera identificare "tu", potrebbe essere più facile per loro identificare "tu" usando id utente e dati comportamentali (indirizzo IP). Se yubikey funziona correttamente (ovvero non è stato compromesso per aggiungere informazioni specifiche del dispositivo nella chiave pubblica in modo esplicito o implicito a causa dell'algoritmo, della debolezza PRNG e di altri noti problemi pubblici / privati), non è possibile per loro rintracciare i due pubblici torna al singolo "tu".

Aggiornamento: il link che spiega come U2F può supportare "infinito" pubblico privato / coppie di chiavi pubbliche senza condividere la stessa chiave tra i siti E memorizzare i dettagli localmente.

    
risposta data 28.09.2015 - 21:29
fonte