Wie Sie vielleicht wissen, sind Ihre Ledger Nano-Geräte (Ledger Nano S, Nano S Plus und Nano X) offene Plattformen, die die Sicherheit von Secure Elements nutzen. Das Ledger-Betriebssystem (OS) lädt Anwendungen, die kryptografische APIs verwenden. Das Betriebssystem bietet außerdem Isolations- und Schlüsselableitungsmechanismen.
Diese Technologie bietet ein hohes Maß an Sicherheit, selbst gegen einen Angreifer, der physischen Zugriff auf Ihre Geräte hat, und macht Ihre Ledger-Geräte zu perfekten Werkzeugen für die sichere Verwaltung Ihrer digitalen Vermögenswerte. Sie eignen sich aber auch sehr gut zur Absicherung Ihrer Zugangsdaten bei vielen Online-Diensten.
Aus diesem Grund haben wir eine neue Anwendung namens entwickelt Sicherheitsschlüssel, das den WebAuthn-Standard für Second Factor Authentication (2FA), Multiple Factor Authentication (MFA) oder sogar passwortlose Authentifizierung implementiert.
Aufgrund von Betriebssystemeinschränkungen weist diese Sicherheitsschlüssel-App einige Einschränkungen auf:
- Es ist auf dem Nano S nicht verfügbar, da AES-SIV auf dem Nano S-Betriebssystem nicht unterstützt wird.
- Erkennbare/residente Anmeldeinformationen werden unterstützt, werden jedoch auf einem Teil des Geräte-Flash gespeichert, der beim Löschen der App gelöscht wird. Deshalb sind sie standardmäßig nicht aktiviert, können aber bei Bedarf auf eigenes Risiko in den Einstellungen manuell aktiviert werden. Das kann passieren:
- Wenn der Benutzer es von Ledger Live deinstallieren möchte
- Wenn der Benutzer die App auf eine neue verfügbare Version aktualisieren möchte
- Wenn der Benutzer die Betriebssystemversion aktualisiert
Was ist WebAuthn?
Web Authentication oder kurz WebAuthn ist ein vom W3C und der FIDO Alliance geschriebener Standard. Es spezifiziert einen Benutzerauthentifizierungsmechanismus, der auf der Kryptografie mit öffentlichen Schlüsseln anstelle von Passwörtern basiert.
Die Motivation für die Entwicklung eines solchen Standards war, dass unsere derzeitige Online-Existenz auf Passwörtern basiert und dass die meisten Sicherheitsverstöße mit gestohlenen oder schwachen Passwörtern zusammenhängen.
Nutzung des Sicherheitsmechanismus für die Kryptografie mit öffentlichem Schlüssel
Kryptographie mit öffentlichem Schlüssel, auch als asymmetrische Kryptographie bekannt, ist ein kryptografischer Mechanismus, der auf zwei zugehörigen Schlüsseln basiert:
- Ein privater Schlüssel, der geheim gehalten werden sollte
- Ein öffentlicher Schlüssel, der geteilt werden kann
Diese Schlüssel haben die folgende Eigenschaft gemeinsam:
- Mit dem öffentlichen Schlüssel kann überprüft werden, ob eine Nachricht mit dem privaten Schlüssel signiert wurde.
Nehmen wir an, ein Benutzer, Bob, erstellt ein Schlüsselpaar und teilt den öffentlichen Schlüssel mit Alice. Wenn Bob eine Nachricht an Alice sendet, kann er die Nachricht mit seinem privaten Schlüssel signieren und Alice kann mit dem öffentlichen Schlüssel überprüfen, ob die Nachricht tatsächlich von Bob signiert wurde, der als Einziger den privaten Schlüssel kennt.
In Bezug auf die Authentifizierung bedeutet dies, dass ein Benutzer ein Schlüsselpaar erstellen und den öffentlichen Schlüssel mit einem Online-Dienst teilen kann. Später kann sich der Nutzer authentifizieren, indem er gegenüber dem Onlinedienst nachweist, dass er den privaten Schlüssel kennt. Und das alles, ohne den privaten Schlüssel an den Online-Dienst senden zu müssen! Dies bedeutet, dass der private Schlüssel weder in Serverdatenbanken gestohlen noch während der Benutzer-zu-Server-Kommunikation abgefangen werden kann.
Resistent gegen Phishing-Angriffe
Der WebAuthn-Standard verfügt zudem über die Eigenschaft, widerstandsfähig gegen klassische Phishing-Angriffe zu sein.
Grundsätzlich ist a Phishing Bei einem Angriff handelt es sich um einen Angriff, bei dem ein Hacker Sie dazu verleitet, vertrauliche Informationen preiszugeben, in unserem Fall Anmeldeinformationen.
Im Gegensatz zu anderen MFA-Mechanismen wie OTP ist der WebAuthn-Mechanismus resistent gegen solche Angriffe. Tatsächlich ist jedes Schlüsselpaar an einen bestimmten Ursprung oder eine bestimmte Webdomäne gebunden, was bedeutet, dass ein Angriff, der versucht, Sie dazu zu verleiten, WebAuthn-Anmeldeinformationen in einer anderen Domäne zu verwenden (z. B. einer gefälschten Website mit URL). best-service.com
anstelle der legitimen Site-URL best.service.com
) schlägt fehl, da das Authentifizierungsgerät kein entsprechendes Schlüsselpaar für diese Domäne hat. Daher schlägt der Angriff fehl und der Gegner erhält keine nützlichen Informationen.
Starke Hardwaresicherheit
WebAuthn empfiehlt die Verwendung von Hardware-Sicherheitselementen, um die privaten Schlüssel sicher zu speichern. In Bezug auf die Ledger-Sicherheitsschlüsselanwendung werden private Schlüssel im Secure Element (SE) des Geräts gespeichert, die eine Common Criteria-Sicherheitsbewertung – einen internationalen Standard für Bankkarten und staatliche Anforderungen – bestanden und ein EAL5+-Zertifikat erhalten haben. Weitere Informationen zu Ledger-Gerätezertifizierungen finden Sie hier hier.
Beglaubigte Anmeldungen
Die WebAuthn-Authentifizierung ist attestiert. Dies bedeutet, dass der Server überprüfen kann, ob das Authentifizierungsgerät legitim ist. Dies kann bei einigen Diensten aktiviert werden, um nur eine kurze Liste von Authentifizierungsgeräten zu autorisieren oder betrügerische Quellen zu erkennen.
So funktioniert WebAuthn
Lassen Sie uns zunächst die verschiedenen Akteure spezifizieren:
- Das Mitglied, das sind Sie, die versuchen, sich sicher bei einem Online-Dienst zu registrieren.
- Das Vertrauende Seite, was sich auf einen Server bezieht, der über WebAuthn Zugriff auf eine sichere Softwareanwendung bietet. Zum Beispiel Google, Facebook, Twitter.
- Das User Agent, was sich auf jede Software bezieht, die im Namen eines Benutzers handelt „ruft Webinhalte ab, rendert sie und erleichtert die Interaktion des Endbenutzers mit ihnen“. Zum Beispiel Ihr Lieblings-Webbrowser auf Ihrem Lieblings-Betriebssystem.
- Das Authentifizierer, was sich auf ein Mittel zur Bestätigung einer Benutzeridentität bezieht. In diesem Fall handelt es sich um Ihr Ledger Nano-Gerät, auf dem die Security Key-Anwendung ausgeführt wird.
Es gibt zwei wichtige WebAuthn-Vorgänge, die wie folgt fortgesetzt werden können:
- Anmeldung, bei der:
- Authenticator erhält eine Anfrage über die User Agent, Aus der Vertrauende Seite, enthält den Ursprung oder die Webdomäne der vertrauenden Seite sowie eine Benutzerkennung und optional den Benutzernamen.
- Authenticator fordert die Mitglied Zustimmung, erstellt ein eindeutiges Schlüsselpaar und antwortet dann der vertrauenden Partei mit dem öffentlichen Schlüssel.
- Authentifizierung, bei der:
- Authenticator erhält, durch die User Agent, eine Anfrage der Vertrauende Seite, enthält den Ursprung oder die Webdomäne der Relying Party zusammen mit einer Challenge.
- Authenticator fordert die Mitglied Zustimmung und antwortet dann mit einer Nachricht, die eine Signatur enthält, die mit dem mit den registrierten Anmeldeinformationen verknüpften privaten Schlüssel erstellt wurde.
Eine ausführlichere Erklärung des Mechanismus hinter WebAuthn finden Sie hier hier.
Der Unterschied zur Ledger FIDO-U2F Nano App
Die Ledger FIDO-U2F-Anwendung implementiert FIDO U2F, eine frühere Version von FIDO2, die im WebAuthn-Standard enthalten ist. Diese frühere Version wurde als zweiter Faktor für Passwörter entwickelt, während WebAuthn eine passwortlose Authentifizierung ermöglichen soll.
Weltweit ermöglicht es eine bessere Benutzererfahrung:
- Auf Authentifizierungsgeräten mit Bildschirm kann jetzt anstelle ihres Hashs der Ursprung der Relying Party (oder Dienstdomäne) angezeigt werden.
- In den FIDO2-Spezifikationen wurden erkennbare Anmeldeinformationen (auch residente Schlüssel genannt) eingeführt. Sie ermöglichen passwortlose Szenarien, bei denen der Benutzer nicht einmal seinen Benutzernamen im Dienst eingeben muss. Stattdessen kann die vertrauende Partei nach Durchführung der Registrierung eine Authentifizierung nur mit ihrem Ursprung und ohne Anmeldeinformationsliste anfordern. Beim Empfang einer solchen Anfrage sucht der Authentifikator nach intern gespeicherten (residenten) Anmeldeinformationen, die dieser vertrauenden Partei zugeordnet sind, und verwendet sie zur Authentifizierung des Benutzers.
Kompatibilität
Der WebAuthn-Standard und daher die Ledger Security Key-Anwendung wird auf vielen Betriebssystemen und Webbrowsern unterstützt:
- Unter Windows 10 und höher wird es zumindest auf Edge, Chrome und Firefox unterstützt
- Unter MacOS 11.4 und höher wird es in Safari und Chrome unterstützt, in Firefox ist es derzeit jedoch nur teilweise verfügbar. Chrome wird aufgrund bekannter Instabilitäten mit Safari empfohlen.
- Unter Ubuntu 20.04 und höher wird es in Chrome unterstützt, in Firefox ist es jedoch derzeit nur teilweise verfügbar.
- Unter iOS 14 und iPadOS 15.5 und höher wird es von Safari, Chrome und Firefox unterstützt
- Auf Android wird es derzeit nicht unterstützt. Es sollte mit den Google Play-Diensten v23.35 (Version September 2023) beginnen.
Verwendung der Ledger Security Key-Anwendung
WebAuthn-Dienste
WebAuthn hat mittlerweile eine breite Akzeptanz erreicht. Daher kann die Ledger-Sicherheitsschlüsselanwendung bei vielen Diensten für die Mehrfaktorauthentifizierung und manchmal auch für die passwortlose Authentifizierung verwendet werden.
Hier ist ein Auszug der Dienste, die Webauthn implementieren:
- 1Password
- AWS
- Binance
- Bit Bucket
- Dropbox
- Gandi
- Gemini
- GitHub
- Gitlab
- Microsoft
- Okta
- Salesforce
- Shopify
- Twitch
Schritt-für-Schritt-Beispiel
- Laden Sie Ledger Live herunter und wählen Sie im Abschnitt „Mein Ledger“ die Anwendung „Sicherheitsschlüssel“ aus, um sie auf Ihrem Gerät zu installieren
- Nehmen Sie die entsprechenden Einstellungen am gewünschten Dienst vor (AWS, Dropbox, Facebook, Google, GitHub, Microsoft, Twitter, …)
- Verwenden Sie Ihren Sicherheitsschlüssel, um sich anzumelden!
Dank der Kombination der Sicherheit Ihres Drittanbieterdienstes und unserer Sicherheitsschlüsselanwendung haben Sie jetzt eine hochmoderne Sicherheit für Ihre Konten aktiviert
Sichern Sie Ihre SSH-Schlüssel
SSH-Schlüssel werden von Entwicklern in einigen kritischen Situationen verwendet, von der Authentifizierung bei einem GIT-Server bis hin zur Verbindung mit kritischen Produktionsservern. Ledger-Geräte hatten bereits eine Möglichkeit, Ihre SSH-Schlüssel mithilfe der Ledger SSH Nano-Anwendung zu sichern. Dies erforderte jedoch die Verwendung einer dedizierten Nano-Anwendung und eines Agenten auf Ihrem Computer. Dies ist nicht mehr der Fall. OpenSSH 8.2 führte eine neue Funktion ein, die die „native“ Nutzung von FIDO-Authentifizierungsgeräten für die SSH-Schlüsselspeicherung ermöglicht.
Anwendungsbeispiel
Sehen wir uns an, wie es zur Interaktion mit einem GitHub-Repository verwendet werden kann:
1. Erstellen Sie ein Paar:
$ssh-keygen -t ed25519-sk -f ~/.ssh/id_mykey_sk Generating public/private ed25519-sk key pair.
You may need to touch your authenticator to authorize key generation.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/user/.ssh/id_mykey_sk
Your public key has been saved in /home/user/.ssh/id_mykey_sk.pub
The key fingerprint is:
SHA256:ZdHzzXRboYdbVXpLN12EKyDEYycNMDXRJV45ECYEBp8 user@LPFR0218
The key's randomart image is:
+[ED25519-SK 256]-+
| ..=BO=*=o. +B|
| o o*==+= +.B|
| E. =+. *.XB|
| o . Bo*|
| S o . |
| |
| |
| |
| |
+----[SHA256]-----+
2. Registrieren Sie den SSH-Schlüssel in Ihrem GitHub-Konto (siehe die GitHub-Dokumentation)
3. Verwenden Sie es beispielsweise, um ein Repository zu klonen:
$git clone :LedgerHQ/app-bitcoin-new.git
Cloning into 'app-bitcoin-new'...
Confirm user presence for key ED25519-SK SHA256:iGu/I9kjxypEHkQIGmgTLBCA8ftm4Udu1DfkK2BwE0o
remote: Enumerating objects: 5625, done.
remote: Counting objects: 100% (10/10), done.
remote: Compressing objects: 100% (10/10), done.
remote: Total 5625 (delta 1), reused 2 (delta 0), pack-reused 5615
Receiving objects: 100% (5625/5625), 2.11 MiB | 636.00 KiB/s, done.
Resolving deltas: 100% (4055/4055), done.
Wenn Sie über mehrere SSH-Schlüssel verfügen, können Sie folgen diese StackOverflow-Antwort um einen bestimmten Schlüssel anstelle des Standardschlüssels auszuwählen.
Parameter
Beim Erstellen eines SSH-Schlüsselpaars mit ssh-keygen
und Ihrem Sicherheitsschlüssel können Sie:
- Wählen Sie die Schlüsselpaargenerierungskurve aus, indem Sie eine der beiden angeben
-t ed25519-sk
or-t ecdsa-sk
- Erlauben Sie die Verwendung privater SSH-Schlüssel ohne manuelle Akzeptanz des Sicherheitsschlüssels, indem Sie Folgendes angeben
-O no-touch-required
. Allerdings können einige Dienste eine solche Authentifizierung verweigern, dies ist bei GitHub der Fall.
Es gibt eine zusätzliche resident
Diese Option bietet jedoch keine zusätzliche Sicherheit und ihre Verwendung ist komplexer.
Xavier Chapron
Firmware-Ingenieur
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.ledger.com/blog/strengthen-the-security-of-your-accounts-with-webauthn
- :hast
- :Ist
- :nicht
- :Wo
- $UP
- 1
- 10
- 11
- 14
- 15%
- 20
- 2023
- 2FA
- 35%
- 8
- a
- Über Uns
- Akzeptanz
- Zugang
- Konto
- Trading Konten
- Schauspielkunst
- Akteure
- hinzufügen
- Zusätzliche
- Adoption
- Nach der
- aufs Neue
- gegen
- Makler
- Alice
- Alle
- Allianz
- erlauben
- Zulassen
- erlaubt
- entlang
- bereits
- ebenfalls
- an
- und
- androide
- jedem
- APIs
- App
- Anwendung
- Anwendungen
- angemessen
- SIND
- AS
- Details
- damit verbundenen
- At
- Attacke
- Anschläge
- authentifizieren
- Authentifizierung
- autorisieren
- verfügbar
- AWS
- Bankinggg
- basierend
- BE
- war
- Namen
- hinter
- Besser
- Getreide
- Verstöße
- Browser
- Building
- erbaut
- aber
- by
- CAN
- Karten
- Häuser
- Bescheinigung
- challenges
- Chrome
- Vereinigung
- gemeinsam
- Kommunikation
- Kompatibilität
- Komplex
- Computer
- Computing
- Schichtannahme
- Sich zusammenschliessen
- Zustimmung
- Geht davon
- Einschränkungen
- Dazugehörigen
- Zählen
- erstellen
- erstellt
- schafft
- Erstellen
- KREDENTIAL
- Referenzen
- Kriterien
- kritischem
- kryptographisch
- Geheimschrift
- Strom
- Kurve
- Datenbanken
- gewidmet
- Standard
- Delta
- entworfen
- erwünscht
- detailliert
- entdecken
- entwickelt
- Entwickler
- Gerät
- Geräte
- Unterschied
- anders
- digital
- Digitale Assets
- angezeigt
- die
- Tut nicht
- Domain
- erledigt
- Dropbox
- zwei
- im
- e
- jeder
- Edge
- Element
- Elemente
- freigegeben
- Enter
- Auswertung
- Sogar
- Beispiel
- Existenz
- ERFAHRUNGEN
- Erklärung
- Extrakt
- erleichtert
- Faktor
- FAIL
- Fälschung
- Favorit
- Merkmal
- FIDO-Allianz
- Finden Sie
- Fingerabdruck
- Firefox
- Blinken (Flash)
- Folgende
- Aussichten für
- betrügerisch
- für
- Erzeugung
- Generation
- bekommen
- Git
- GitHub
- Google Play
- Hacker
- hätten
- passieren
- Hardware
- Hardware-Sicherheits
- Hash-
- Haben
- mit
- he
- GUTE
- seine
- Ultraschall
- aber
- HTTPS
- Login
- Kennzeichnung
- Identitätsschutz
- if
- Image
- Umsetzung
- implementiert
- in
- inklusive
- in der Tat
- Information
- installieren
- beantragen müssen
- interagieren
- Interaktion
- innen
- International
- in
- eingeführt
- iOS
- iPad
- Isolierung
- IT
- SEINE
- jpg
- nur
- gehalten
- Wesentliche
- Tasten
- Wissen
- Wissend
- bekannt
- Mangel
- später
- am wenigsten
- Ledger
- Ledger Live
- Ledger Nano
- Ledger Nano S
- Echt
- legitim
- Niveau
- Nutzung
- Gefällt mir
- Einschränkungen
- Liste
- leben
- Belastungen
- Log
- login
- länger
- SIEHT AUS
- MacOS
- Dur
- Making
- verwalten
- manuell
- manuell
- viele
- Kann..
- Mittel
- gemeint
- Mechanismus
- Mechanismen
- Nachricht
- MFA
- Microsoft
- könnte
- mehr
- vor allem warme
- Motivation
- mehrere
- Name
- Namens
- nano
- Need
- erforderlich
- Neu
- nicht
- jetzt an
- Objekte
- erhalten
- of
- Angebote
- on
- EINEM
- Online
- einzige
- XNUMXh geöffnet
- die
- Betriebssystem
- Einkauf & Prozesse
- Option
- or
- Herkunft
- OS
- Andere
- UNSERE
- besitzen
- Paar
- Parameter
- Teil
- Party
- Bestanden
- Passwörter
- perfekt
- durchgeführt
- Phishing
- Phishing-Attacken
- physikalisch
- Plattformen
- Plato
- Datenintelligenz von Plato
- PlatoData
- Play
- erfahren
- Präsenz
- früher
- privat
- Private Key
- Private Schlüssel
- Produktion
- Resorts
- geschützt
- bietet
- Bereitstellung
- Beweis
- Öffentlichkeit
- public Key
- öffentliche Schlüssel
- erreicht
- erhält
- Rezeption
- empfohlen
- empfiehlt
- bezieht sich
- in Bezug auf
- Registrieren
- eingetragen
- Registrierung:
- bezogene
- Release
- sich auf
- macht
- Quelle
- Anforderung
- Zugriffe
- falls angefordert
- Voraussetzungen:
- federnde
- aufschlussreich
- Risiko
- Laufen
- s
- Safari
- sicher
- gleich
- Gerettet
- Szenarien
- Bildschirm
- Zweite
- Abschnitt
- Verbindung
- sicher
- Sicherheitdienst
- Sicherheitsverstoss
- sehen
- senden
- sendet
- empfindlich
- September
- Server
- Fertige Server
- Lösungen
- Einstellungen
- SHA256
- Teilen
- Shares
- Short
- sollte
- Schild
- Stempel, Unterschrift
- unterzeichnet
- am Standort
- Umstände
- Software
- einige
- manchmal
- Quellen
- spezifisch
- Spezifikationen
- Standard
- Anfang
- Bundesstaat
- State-of-the-art
- Schritt
- gestohlen
- Lagerung
- speichern
- gelagert
- Stärke
- so
- Support
- Unterstützte
- System
- Technologie
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- Sie
- sich
- dann
- deswegen
- vom Nutzer definierten
- Dritte
- fehlen uns die Worte.
- Durch
- zu
- Werkzeuge
- Gesamt
- aufnehmen
- Versuch
- XNUMX
- Ubuntu
- einzigartiges
- Aktualisierung
- Updates
- auf
- Anwendungsbereich
- -
- benutzt
- Mitglied
- Benutzererfahrung
- Nutzer
- verwendet
- Verwendung von
- überprüfen
- Version
- sehr
- wurde
- Weg..
- we
- Netz
- Web-Browser
- GUT
- Was
- während
- welche
- WHO
- warum
- breit
- Wikipedia
- werden wir
- Fenster
- mit
- .
- ohne
- geschrieben
- X
- Du
- Ihr
- Zephyrnet