Amint azt Ön is tudja, a Ledger Nano eszközei (Ledger Nano S, Nano S Plus és Nano X) nyílt platformok, amelyek kihasználják a Secure Elements biztonságát. A Ledger Operating System (OS) olyan alkalmazásokat tölt be, amelyek kriptográfiai API-kat használnak. Az operációs rendszer izolációs és kulcs-levezetési mechanizmusokat is kínál.
Ez a technológia magas szintű biztonságot nyújt még az eszközeihez fizikailag hozzáférő támadókkal szemben is, így Ledger eszközei tökéletes eszközök a digitális eszközök biztonságos kezeléséhez. De arra is kiválóan alkalmasak, hogy számos online szolgáltatáshoz biztosítsák bejelentkezési adatait.
Ezért fejlesztettünk ki egy új alkalmazást, az ún Biztonsági kulcs, amely a WebAuthn szabványt valósítja meg a második tényezős hitelesítéshez (2FA), többtényezős hitelesítéshez (MFA) vagy akár jelszó nélküli hitelesítéshez.
Az operációs rendszer korlátai miatt ennek a biztonsági hardverkulcs-alkalmazásnak van néhány korlátozása:
- Nem érhető el a Nano S-en, mivel a Nano S OS-en nem támogatott az AES-SIV.
- A felderíthető/lakó hitelesítési adatok támogatottak, de az eszköz flash egy részén tárolódnak, amely az alkalmazás törlésekor törlődik. Éppen ezért ezek alapértelmezés szerint nincsenek engedélyezve, de szükség esetén saját felelősségre manuálisan engedélyezhetők a beállításokban. Ez történhet:
- Ha a felhasználó úgy dönt, hogy eltávolítja a Ledger Live-ból
- Ha a felhasználó úgy dönt, hogy frissíti az alkalmazást egy új elérhető verzióra
- Ha a felhasználó frissíti az operációs rendszer verzióját
Mi az a WebAuthn?
A Web Authentication vagy röviden WebAuthn a W3C és a FIDO Alliance által írt szabvány. Jelszavak helyett nyilvános kulcsú titkosításon alapuló felhasználói hitelesítési mechanizmust határoz meg.
Egy ilyen szabvány felépítésének motivációja az volt, hogy jelenlegi online létezésünk jelszavakra épül, és a legtöbb biztonsági incidens az ellopott vagy gyenge jelszavakhoz kapcsolódik.
A nyilvános kulcsú kriptográfiai biztonsági mechanizmus kihasználása
Nyilvános kulcsú kriptográfia, más néven aszimmetrikus kriptográfia, egy kriptográfiai mechanizmus, amely két társított kulcson alapul:
- Privát kulcs, amelyet titokban kell tartani
- Nyilvános kulcs, megosztható
A téziskulcsok a következő tulajdonságokkal rendelkeznek:
- A nyilvános kulccsal ellenőrizhető, hogy az üzenetet aláírták-e a privát kulccsal.
Nézzük meg, hogy egy felhasználó, Bob, létrehoz egy kulcspárt, és megosztja a nyilvános kulcsot Alice-szel. Ha Bob üzenetet küld Alice-nek, ő aláírhatja az üzenetet a privát kulcsával, Alice pedig a nyilvános kulccsal ellenőrizheti, hogy az üzenetet valóban Bob írta-e alá, aki az egyetlen, aki tudja, mi a privát kulcs.
Ami a hitelesítést illeti, ez azt jelenti, hogy a felhasználó létrehozhat egy kulcspárt, és megoszthatja a nyilvános kulcsot egy online szolgáltatással. Később a felhasználó úgy tudja magát hitelesíteni, hogy igazolja az online szolgáltatásnak, hogy ismeri a privát kulcsot. Mindezt anélkül, hogy el kellene küldenie a privát kulcsot az online szolgáltatásnak! Ez azt jelenti, hogy a privát kulcsot nem lehet ellopni a szerver adatbázisokban, és nem lehet elfogni a felhasználók közötti kommunikáció során.
Az adathalász támadás ellenálló
A WebAuthn szabványnak megvan az a tulajdonsága is, hogy ellenálló a klasszikus adathalász támadásokkal szemben.
Alapvetően a Adathalászat A támadás egy olyan támadás, ahol egy hacker trükkös információkkal csal meg bizalmas információkat, esetünkben bejelentkezési adatokat.
Más MFA-mechanizmusokkal, például az OTP-vel ellentétben a WebAuthn mechanizmus ellenáll az ilyen támadásoknak. Valójában minden kulcspár egy adott eredethez vagy webtartományhoz van kötve, ami azt jelenti, hogy egy támadás megpróbálja rávenni Önt egy WebAuthn hitelesítési adat használatára egy másik tartományban (pl. hamis webhely url-lel best-service.com
a webhely legitim URL-je helyett best.service.com
) sikertelen lesz, mivel a hitelesítő eszköz nem rendelkezik megfelelő kulcspárral az adott tartományhoz. Ezért a támadás meghiúsul, és az ellenfél nem kap semmilyen hasznos információt.
Erős hardveres biztonság
A WebAuthn hardveres biztonsági elemek használatát javasolja a privát kulcsok biztonságos tárolására. A Ledger Security Key alkalmazást illetően az eszköz Secure Elementben (SE) tárolódnak azok a privát kulcsok, amelyek megfeleltek a Common Criteria biztonsági értékelésnek – a bankkártyákra és az állami követelményekre vonatkozó nemzetközi szabvány – és EAL5+ tanúsítvánnyal rendelkeznek. További információt talál a Ledger eszköztanúsítványokról itt.
Hiteles regisztrációk
A WebAuthn hitelesítés tanúsított, ami azt jelenti, hogy a szerver ellenőrizheti, hogy a hitelesítő eszköz legális-e. Ez egyes szolgáltatásoknál engedélyezhető a hitelesítési eszközök rövid listájának engedélyezése vagy a csaló források észlelése érdekében.
Hogyan működik a WebAuthn
Először is határozzuk meg, melyek a különböző szereplők:
- A használó, azaz Ön próbál biztonságosan regisztrálni egy online szolgáltatáson.
- A Támaszkodó fél, amely egy olyan szerverre utal, amely WebAuthn használatával hozzáférést biztosít egy biztonságos szoftveralkalmazáshoz. Például Google, Facebook, Twitter.
- A Böngésző, amely minden olyan szoftverre vonatkozik, amely a felhasználó nevében jár el, amely „lekéri, megjeleníti és megkönnyíti a végfelhasználói interakciót webes tartalommal”. Például kedvenc webböngészője kedvenc operációs rendszerén.
- A Hitelesítő, amely a felhasználói azonosság megerősítésére használt eszközre utal. Ebben az esetben ez az Ön Ledger Nano eszköze, amelyen a Biztonsági kulcs alkalmazás fut.
Két fő WebAuthn-művelet létezik, amelyeket a következőképpen lehet folytatni:
- Regisztráció, melynek során:
- a hitelesítő jel címen keresztül kap egy kérést Böngésző, tól Támaszkodó fél, amely tartalmazza az Égő fél eredetét vagy webdomainjét, valamint egy felhasználói azonosítót és opcionálisan a felhasználónevet.
- a hitelesítő jel kéri a használó beleegyezését, egyedi kulcspárt hoz létre, majd a nyilvános kulccsal válaszol az Égő félnek.
- Hitelesítés, amelynek során:
- a hitelesítő jel keresztül kapja meg a Böngésző, kérés a Támaszkodó fél, amely a Relying Party eredetét vagy a webdomaint tartalmazza kihívással együtt.
- a hitelesítő jel kéri a használó beleegyezését, majd egy üzenettel válaszol, amely a regisztrált hitelesítő adatokhoz társított privát kulccsal létrehozott aláírást tartalmaz.
Részletesebb magyarázatot találhat a WebAuthn mögötti mechanizmusról itt.
A különbség a Ledger FIDO-U2F Nano alkalmazással
A Ledger FIDO-U2F alkalmazás a FIDO U2F-et, a FIDO2 korábbi verzióját valósítja meg, amely a WebAuthn szabványban szerepel. Ezt az előző verziót úgy tervezték, hogy a jelszavak második tényezőjeként használják, míg a WebAuthn lehetővé teszi a jelszó nélküli hitelesítést.
Globálisan jobb felhasználói élményt tesz lehetővé:
- A képernyővel rendelkező hitelesítési eszközökön a függő fél eredete (vagy szolgáltatási tartománya) jeleníthető meg a hash helyett.
- A felfedezhető hitelesítő adatokat (más néven rezidens kulcsokat) bevezették a FIDO2 specifikációiba. Lehetővé teszik a jelszó nélküli forgatókönyveket, amikor a felhasználónak még a felhasználónevét sem kell megadnia a szolgáltatásban. Ehelyett a Regisztráció elvégzése után az Érintett fél hitelesítést kérhet csak az eredetével, hitelesítő adatok listája nélkül. Az ilyen kérés fogadásakor a hitelesítő megkeresi az érintett félhez tartozó, belsőleg tárolt (rezidens) hitelesítő adatokat, és azokat a felhasználó hitelesítésére használja.
Kompatibilitás
A WebAuthn szabvány és ezért a Ledger biztonsági kulcs alkalmazás számos operációs rendszeren és webböngészőn támogatott:
- Windows 10 és újabb rendszereken legalább az Edge, a Chrome és a Firefox támogatja
- A MacOS 11.4-es és újabb verzióiban a Safari és a Chrome támogatja, azonban Firefoxon egyelőre csak részben érhető el. A Chrome használata javasolt a Safari ismert instabilitása miatt.
- Az Ubuntu 20.04-es és újabb verzióiban a Chrome támogatja, azonban Firefoxon egyelőre csak részben érhető el.
- iOS 14 és iPadOS 15.5 és újabb verziók esetén a Safari, a Chrome és a Firefox támogatja
- Androidon jelenleg nem támogatott. A Google Play Services v23.35 verziójával kell kezdődnie (2023. szeptemberi kiadás).
A Ledger Security Key alkalmazás használata
WebAuthn szolgáltatások
A WebAuthn mára széles körben elterjedt. Ezért a Ledger Security Key alkalmazás számos szolgáltatásban használható többtényezős hitelesítéshez és néha jelszó nélküli hitelesítéshez.
Íme egy kivonat a Webauthnt megvalósító szolgáltatásokból:
- 1Password
- AWS
- Binance
- Bitbucket
- dropbox
- Gandhi
- Gemini
- GitHub
- GitLab
- microsoft
- Okta
- Salesforce
- Shopify
- Rángatózik
Példa lépésről lépésre
- Töltse le a Ledger Live-t, és válassza ki a Biztonsági kulcs alkalmazást a „My Ledger” részben, hogy telepítse az eszközére
- Állítsa be a megfelelő beállításokat a kívánt szolgáltatásban (AWS, Dropbox, Facebook, Google, GitHub, Microsoft, Twitter,…)
- Használja biztonsági kulcsát a bejelentkezéshez!
Harmadik féltől származó szolgáltatása biztonságának és Biztonsági kulcs alkalmazásunk kombinálásának köszönhetően most a legkorszerűbb biztonságot tette lehetővé fiókjai számára.
Az SSH-kulcsok védelme
Az SSH-kulcsokat a fejlesztők bizonyos kritikus helyzetekben használják, a GIT-kiszolgáló hitelesítésétől egészen a kritikus éles szerverekhez való csatlakozásig. A Ledger eszközöknek már volt módja az SSH-kulcsok védelmére a Ledger SSH Nano Application segítségével. Ehhez azonban egy dedikált nanoalkalmazás és egy ügynök használatára volt szükség a számítógépen. Ez már nem így van. Az OpenSSH 8.2 új funkciót vezetett be, amely lehetővé teszi a FIDO hitelesítő eszközök „natív” használatát az SSH-kulcsok tárolására.
Használati példa
Nézzük meg, hogyan használható a GitHub-tárral való interakcióra:
1. Hozzon létre egy párt:
$ssh-keygen -t ed25519-sk -f ~/.ssh/id_mykey_sk Generating public/private ed25519-sk key pair.
You may need to touch your authenticator to authorize key generation.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/user/.ssh/id_mykey_sk
Your public key has been saved in /home/user/.ssh/id_mykey_sk.pub
The key fingerprint is:
SHA256:ZdHzzXRboYdbVXpLN12EKyDEYycNMDXRJV45ECYEBp8 user@LPFR0218
The key's randomart image is:
+[ED25519-SK 256]-+
| ..=BO=*=o. +B|
| o o*==+= +.B|
| E. =+. *.XB|
| o . Bo*|
| S o . |
| |
| |
| |
| |
+----[SHA256]-----+
2. Regisztrálja az SSH-kulcsot GitHub-fiókjában (lásd a GitHub dokumentációját)
3. Használja például egy tár klónozására:
$git clone :LedgerHQ/app-bitcoin-new.git
Cloning into 'app-bitcoin-new'...
Confirm user presence for key ED25519-SK SHA256:iGu/I9kjxypEHkQIGmgTLBCA8ftm4Udu1DfkK2BwE0o
remote: Enumerating objects: 5625, done.
remote: Counting objects: 100% (10/10), done.
remote: Compressing objects: 100% (10/10), done.
remote: Total 5625 (delta 1), reused 2 (delta 0), pack-reused 5615
Receiving objects: 100% (5625/5625), 2.11 MiB | 636.00 KiB/s, done.
Resolving deltas: 100% (4055/4055), done.
Ha több SSH-kulcsod van, akkor követheted ezt a StackOverflow választ hogy egy adott billentyűt válasszon az alapértelmezett helyett.
paraméterek
SSH-kulcspár létrehozásakor a ssh-keygen
és a biztonsági kulcsot, a következőket teheti:
- Válassza ki a kulcspár generálási görbét bármelyik megadásával
-t ed25519-sk
or-t ecdsa-sk
- Megadásával engedélyezheti az SSH privát kulcs használatát a biztonsági kulcs kézi elfogadása nélkül
-O no-touch-required
. Egyes szolgáltatások azonban megtagadhatják az ilyen hitelesítést, ez a helyzet a GitHub esetében.
Van egy további resident
opciót, de nem ad további biztonságot, és használata bonyolultabb.
Xavier Chapron
Firmware mérnök
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.ledger.com/blog/strengthen-the-security-of-your-accounts-with-webauthn
- :van
- :is
- :nem
- :ahol
- $ UP
- 1
- 10
- 11
- 14
- 15%
- 20
- 2023
- 2FA
- 35%
- 8
- a
- Rólunk
- elfogadás
- hozzáférés
- Fiók
- Fiókok
- ható
- szereplők
- hozzá
- További
- Örökbefogadás
- Után
- újra
- ellen
- Ügynök
- alice
- Minden termék
- Szövetség
- lehetővé
- lehetővé téve
- lehetővé teszi, hogy
- mentén
- már
- Is
- an
- és a
- android
- bármilyen
- API-k
- app
- Alkalmazás
- alkalmazások
- megfelelő
- VANNAK
- AS
- Eszközök
- társult
- At
- támadás
- Támadások
- hitelesíteni
- Hitelesítés
- engedélyez
- elérhető
- AWS
- Banking
- alapján
- BE
- óta
- nevében
- mögött
- Jobb
- gabona
- megsértésének
- böngésző
- Épület
- épült
- de
- by
- TUD
- Kártyák
- eset
- igazolás
- kihívás
- króm
- kombinálása
- Közös
- távközlés
- kompatibilitás
- bonyolult
- számítógép
- számítástechnika
- megerősít
- Csatlakozó
- beleegyezés
- Fontolja
- korlátok
- Megfelelő
- számolás
- teremt
- készítette
- teremt
- létrehozása
- HITELEZÉS
- Hitelesítő adatok
- kritériumok
- kritikai
- kriptográfiai
- kriptográfia
- Jelenlegi
- görbe
- adatbázisok
- elszánt
- alapértelmezett
- Delta
- tervezett
- kívánatos
- részletes
- kimutatására
- fejlett
- fejlesztők
- eszköz
- Eszközök
- különbség
- különböző
- digitális
- Digitális eszközök
- Megjelenik
- nem
- Nem
- domain
- csinált
- dropbox
- két
- alatt
- e
- minden
- él
- elem
- elemek
- engedélyezve
- belép
- értékelés
- Még
- példa
- létezés
- tapasztalat
- magyarázat
- kivonat
- megkönnyíti
- tényező
- FAIL
- hamisítvány
- Kedvenc
- Funkció
- FIDO Szövetség
- Találjon
- ujjlenyomat
- Firefox
- Vaku
- következő
- A
- csaló
- ból ből
- generáló
- generáció
- kap
- megy
- GitHub
- A Google Play
- hacker
- kellett
- történik
- hardver
- Hardver biztonság
- hash
- Legyen
- tekintettel
- he
- Magas
- övé
- Hogyan
- azonban
- HTTPS
- Azonosítás
- azonosító
- Identitás
- if
- kép
- végrehajtási
- munkagépek
- in
- beleértve
- valóban
- információ
- telepíteni
- helyette
- kölcsönhatásba
- kölcsönhatás
- belsőleg
- Nemzetközi
- bele
- Bevezetett
- iOS
- iPadOS
- szigetelés
- IT
- ITS
- jpg
- éppen
- tartotta
- Kulcs
- kulcsok
- Ismer
- Ismerve
- ismert
- hiány
- a későbbiekben
- legkevésbé
- Főkönyv
- Ledger Live
- Ledger Nano
- Ledger Nano S
- Legális
- jogos
- szint
- erőfölény
- mint
- korlátozások
- Lista
- él
- terhelések
- log
- Belépés
- hosszabb
- MEGJELENÉS
- MacOS
- fontos
- Gyártás
- kezelése
- kézikönyv
- kézzel
- sok
- Lehet..
- eszközök
- jelentett
- mechanizmus
- mechanizmusok
- üzenet
- MFA
- microsoft
- esetleg
- több
- a legtöbb
- Motiváció
- többszörös
- név
- Nevezett
- nano
- Szükség
- szükséges
- Új
- nem
- Most
- objektumok
- kapott
- of
- Ajánlatok
- on
- ONE
- online
- csak
- nyitva
- üzemeltetési
- operációs rendszer
- Művelet
- opció
- or
- származás
- OS
- Más
- mi
- saját
- pár
- paraméterek
- rész
- párt
- Elmúlt
- jelszavak
- tökéletes
- teljesített
- Adathalászat
- adathalász támadások
- fizikai
- Platformok
- Plató
- Platón adatintelligencia
- PlatoData
- játszani
- plusz
- jelenlét
- előző
- magán
- magánkulcs
- Saját kulcsok
- Termelés
- ingatlan
- védett
- biztosít
- amely
- bizonyítja
- nyilvános
- nyilvános kulcs
- nyilvános kulcsok
- elérte
- kap
- fogadás
- ajánlott
- ajánlja
- kifejezés
- tekintettel
- Regisztráció
- nyilvántartott
- Bejegyzés
- összefüggő
- engedje
- támaszkodva
- vakolatok
- raktár
- kérni
- kéri
- kötelező
- követelmények
- rugalmas
- felfedve
- Kockázat
- futás
- s
- Safari
- biztosan
- azonos
- mentett
- forgatókönyvek
- Képernyő
- Második
- Rész
- biztonság
- biztosan
- biztonság
- biztonsági rések
- lát
- küld
- küld
- érzékeny
- szeptember
- szerver
- Szerverek
- szolgáltatás
- Szolgáltatások
- beállítások
- SHA256
- Megosztás
- Megoszt
- rövid
- kellene
- <p></p>
- aláírás
- aláírt
- weboldal
- helyzetek
- szoftver
- néhány
- néha
- Források
- különleges
- specifikációk
- standard
- kezdet
- Állami
- csúcs-
- Lépés
- lopott
- tárolás
- tárolni
- memorizált
- Meg kell erősíteni
- ilyen
- támogatás
- Támogatott
- rendszer
- Technológia
- hogy
- A
- Őket
- maguk
- akkor
- ebből adódóan
- ők
- Harmadik
- ezt
- Keresztül
- nak nek
- szerszámok
- Végösszeg
- érintse
- próbál
- kettő
- Ubuntu
- egyedi
- Frissítések
- Frissítés
- upon
- Használat
- használ
- használt
- használó
- User Experience
- Felhasználók
- használ
- segítségével
- ellenőrzése
- változat
- nagyon
- volt
- Út..
- we
- háló
- webböngésző
- JÓL
- Mit
- mivel
- ami
- WHO
- miért
- széles
- Wikipedia
- lesz
- ablakok
- val vel
- belül
- nélkül
- írott
- X
- te
- A te
- zephyrnet