Som du kanske vet är dina Ledger Nano-enheter (Ledger Nano S, Nano S Plus och Nano X) öppna plattformar som utnyttjar säkerheten hos Secure Elements. Ledger Operating System (OS) laddar applikationer som använder kryptografiska API:er. OS erbjuder också isolering och viktiga härledningsmekanismer.
Denna teknik ger en hög säkerhetsnivå även mot en angripare som har fysisk åtkomst till dina enheter, vilket gör dina Ledger-enheter till de perfekta verktygen för att hantera dina digitala tillgångar säkert. Men de är också mycket väl lämpade för att säkra dina inloggningsuppgifter till många onlinetjänster.
Det är därför vi har utvecklat en ny applikation som heter Säkerhetsnyckel, som implementerar WebAuthn-standarden för Second Factor Authentication (2FA), Multiple Factor Authentication (MFA) eller till och med lösenordslös autentisering.
På grund av OS-begränsningar har denna säkerhetsnyckelapp några begränsningar:
- Det är inte tillgängligt på Nano S på grund av bristen på stöd för AES-SIV på Nano S OS.
- Upptäckbara/invånare-referenser stöds men lagras på en del av enhetens flash som kommer att raderas när app raderas. Det är därför de inte är aktiverade som standard, utan kan aktiveras manuellt på egen risk i inställningarna om det behövs. Detta kan hända:
- Om användaren väljer att avinstallera det från Ledger Live
- Om användaren väljer att uppdatera appen till en ny tillgänglig version
- Om användaren uppdaterar OS-versionen
Vad är WebAuthn?
Web Authentication eller WebAuthn för kort är en standard skriven av W3C och FIDO Alliance. Den specificerar en användarautentiseringsmekanism baserad på publika nycklar kryptografi istället för lösenord.
Motivationen för att bygga en sådan standard var att vår nuvarande existens online bygger på lösenord och att de flesta säkerhetsintrång är relaterade till stulna eller svaga lösenord.
Utnyttja säkerhetsmekanismen för kryptografi med offentlig nyckel
Offentlig nyckelkryptografi, även känd som asymmetrisk kryptografi, är en kryptografisk mekanism baserad på att ha två associerade nycklar:
- En privat nyckel som bör hållas hemlig
- En offentlig nyckel som kan delas
Dessa nycklar delar följande egenskap:
- Den offentliga nyckeln kan användas för att verifiera om ett meddelande har signerats med den privata nyckeln.
Låt oss överväga att en användare, Bob, skapar ett nyckelpar och delar den publika nyckeln med Alice. Om Bob skickar ett meddelande till Alice kan han signera meddelandet med sin privata nyckel och Alice kan verifiera med den offentliga nyckeln att meddelandet verkligen har signerats av Bob, som är den enda som vet vad den privata nyckeln är.
När det gäller autentisering innebär detta att en användare kan skapa ett nyckelpar och dela den publika nyckeln med en onlinetjänst. Senare kan användaren autentisera sig genom att bevisa för onlinetjänsten att de känner till den privata nyckeln. Allt detta utan att behöva skicka den privata nyckeln till onlinetjänsten! Detta innebär att den privata nyckeln inte kan stjälas på serverdatabaser eller fångas upp under kommunikation mellan användare och server.
Motståndskraftig mot nätfiske
WebAuthn-standarden har också egenskapen att vara motståndskraftig mot klassiska nätfiskeattacker.
I princip, a Nätfiske attack är en attack där en hackare lurar dig att avslöja känslig information, i vårt fall inloggningsuppgifter.
I motsats till andra MFA-mekanismer som OTP är WebAuthn-mekanismen motståndskraftig mot sådana attacker. Faktum är att varje nyckelpar är kopplat till ett specifikt ursprung, eller webbdomän, vilket innebär att en attack som försöker lura dig att använda en WebAuthn-uppgifter på en annan domän (t.ex. en falsk webbplats med url best-service.com
istället för legitim webbadress best.service.com
) kommer att misslyckas eftersom autentiseringsenheten inte kommer att ha ett motsvarande nyckelpar för den domänen. Därför kommer attacken att misslyckas och motståndaren kommer inte att få någon användbar information.
Stark hårdvarusäkerhet
WebAuthn rekommenderar att du använder hårdvarusäkerhetselement för att säkert lagra de privata nycklarna. När det gäller Ledger Security Key-applikationen lagras privata nycklar inom enheten Secure Element (SE) som har klarat en Common Criteria-säkerhetsutvärdering – en internationell standard för bankkort och statliga krav – och har erhållit ett EAL5+-certifikat. Du kan hitta mer information om Ledger-enhetscertifieringar här..
Bestyrkta registreringar
WebAuthn-autentisering är attesterad, detta innebär att servern kan verifiera att autentiseringsenheten är legitim. Detta kan aktiveras på vissa tjänster för att endast auktorisera en kort lista över autentiseringsenheter eller för att upptäcka bedrägliga källor.
Hur WebAuthn fungerar
Låt oss först specificera vilka som är de olika aktörerna:
- Smakämnen Användare, det vill säga du som försöker registrera dig säkert på en onlinetjänst.
- Smakämnen Relying Party, som hänvisar till en server som ger åtkomst till en säker programvara med hjälp av WebAuthn. Till exempel Google, Facebook, Twitter.
- Smakämnen Användaragent, som hänvisar till all programvara som agerar på uppdrag av en användare, som "hämtar, renderar och underlättar slutanvändarnas interaktion med webbinnehåll". Till exempel din favoritwebbläsare på ditt favoritoperativsystem.
- Smakämnen Autentifierare, som hänvisar till ett sätt som används för att bekräfta en användaridentitet. I det här fallet är det här din Ledger Nano-enhet som kör säkerhetsnyckelapplikationen.
Det finns två stora WebAuthn-operationer som kan återupptas som:
- Registrering under vilken:
- d Authenticator får en förfrågan genom Användaragent, från Relying Party, som innehåller den förtroende partens ursprung eller webbdomän tillsammans med en användaridentifierare och eventuellt användarnamnet.
- d Authenticator begär Användare samtycke, skapar ett unikt nyckelpar och svarar sedan till den förtroende parten med den publika nyckeln.
- Autentisering under vilken:
- d Authenticator tar emot genom Användaragent, en begäran från Relying Party, som innehåller den förtroende partens ursprung eller webbdomän tillsammans med en utmaning.
- d Authenticator begär Användare samtycke och svarar sedan med ett meddelande som innehåller en signatur skapad med den registrerade autentiseringsuppgifterna associerade privata nyckel.
Du kan hitta en mer detaljerad förklaring av mekanismen bakom WebAuthn här..
Skillnaden med Ledger FIDO-U2F Nano App
Ledger FIDO-U2F-applikationen implementerar FIDO U2F, en tidigare version av FIDO2 som ingår i WebAuthn-standarden. Den här tidigare versionen var designad för att användas som en andra faktor för lösenord medan WebAuthn är tänkt att tillåta lösenordslös autentisering.
Globalt ger det en bättre användarupplevelse:
- På autentiseringsenheter med en skärm kan den förtroende partens ursprung (eller tjänstedomänen) nu visas istället för dess hash.
- Upptäckbara referenser (även kallade resident keys) har introducerats i FIDO2-specifikationerna. De tillåter lösenordslösa scenarier där användaren inte ens behöver ange sitt användarnamn på tjänsten. Istället, efter att ha utfört registreringen, kan den förtroende parten begära en autentisering med bara dess ursprung och ingen autentiseringslista. Vid mottagande av en sådan begäran letar autentiseringsorganet efter internt lagrade (resident) referenser som är associerade med denna förtroende part och använder dem för att autentisera användaren.
Kompatibilitet
WebAuthn-standarden och därför Ledger Security Key-applikationen stöds på många operativsystem och webbläsare:
- På Windows 10 och senare stöds det åtminstone på Edge, Chrome och Firefox
- På MacOS 11.4 och senare stöds det på Safari och Chrome, men det är bara delvis tillgängligt på Firefox för närvarande. Chrome rekommenderas på grund av känd instabilitet med Safari.
- På Ubuntu 20.04 och senare stöds det på Chrome, men det är bara delvis tillgängligt på Firefox för närvarande.
- På iOS 14 och iPadOS 15.5 och senare stöds det på Safari, Chrome och Firefox
- På Android stöds det inte för närvarande. Det bör börja med Google Play Services v23.35 (utgåvan i september 2023).
Använda applikationen Ledger Security Key
WebAuthn-tjänster
WebAuthn har nu nått en bred användning. Därför kan Ledger Security Key-applikationen användas på många tjänster för multipelfaktorautentisering och ibland för lösenordslös autentisering.
Här är ett utdrag av tjänsterna som implementerar Webauthn:
- 1Password
- AWS
- Binance
- Bit hink
- dropbox
- Gandi
- tvillingarna
- GitHub
- GitLab
- Microsoft
- Okta
- Salesforce
- Shopify
- Twitch
Steg för steg exempel
- Ladda ner Ledger Live och välj säkerhetsnyckelapplikationen i avsnittet "My Ledger" för att installera det på din enhet
- Ställ in lämpliga inställningar på önskad tjänst (AWS, Dropbox, Facebook, Google, GitHub, Microsoft, Twitter, …)
- Använd din säkerhetsnyckel för att logga in!
Tack vare att du kombinerar säkerheten för din tredjepartstjänst och vår säkerhetsnyckelapplikation har du nu aktiverat en toppmodern säkerhet för dina konton
Säkra dina SSH-nycklar
SSH-nycklar används av utvecklare i vissa kritiska situationer, från autentisering till en GIT-server, upp till anslutning till kritiska produktionsservrar. Ledger-enheter hade redan ett sätt att säkra dina SSH-nycklar med Ledger SSH Nano Application. Detta krävde dock användningen av en dedikerad Nano-applikation och en agent på din dator. Detta är inte längre fallet. OpenSSH 8.2 introducerade en ny funktion som tillåter "native" användning av FIDO-autentiseringsenheter för SSH-nyckellagring.
Exempel på användning
Låt se hur det kan användas för att interagera med ett GitHub-förråd:
1. Skapa ett par:
$ssh-keygen -t ed25519-sk -f ~/.ssh/id_mykey_sk Generating public/private ed25519-sk key pair.
You may need to touch your authenticator to authorize key generation.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/user/.ssh/id_mykey_sk
Your public key has been saved in /home/user/.ssh/id_mykey_sk.pub
The key fingerprint is:
SHA256:ZdHzzXRboYdbVXpLN12EKyDEYycNMDXRJV45ECYEBp8 user@LPFR0218
The key's randomart image is:
+[ED25519-SK 256]-+
| ..=BO=*=o. +B|
| o o*==+= +.B|
| E. =+. *.XB|
| o . Bo*|
| S o . |
| |
| |
| |
| |
+----[SHA256]-----+
2. Registrera SSH-nyckeln på ditt GitHub-konto (se GitHub-dokumentationen)
3. Använd den till exempel för att klona ett arkiv:
$git clone :LedgerHQ/app-bitcoin-new.git
Cloning into 'app-bitcoin-new'...
Confirm user presence for key ED25519-SK SHA256:iGu/I9kjxypEHkQIGmgTLBCA8ftm4Udu1DfkK2BwE0o
remote: Enumerating objects: 5625, done.
remote: Counting objects: 100% (10/10), done.
remote: Compressing objects: 100% (10/10), done.
remote: Total 5625 (delta 1), reused 2 (delta 0), pack-reused 5615
Receiving objects: 100% (5625/5625), 2.11 MiB | 636.00 KiB/s, done.
Resolving deltas: 100% (4055/4055), done.
Om du har flera SSH-nycklar kan du följa detta StackOverflow-svar för att välja en specifik nyckel istället för standardtangenten.
parametrar
När du skapar ett SSH-nyckelpar med hjälp av ssh-keygen
och din säkerhetsnyckel kan du:
- Välj genereringskurvan för nyckelpar genom att ange antingen
-t ed25519-sk
or-t ecdsa-sk
- Tillåt privat SSH-nyckelanvändning utan manuell godkännande av säkerhetsnyckeln genom att specificera
-O no-touch-required
. Vissa tjänster kan dock vägra sådan autentisering, detta är fallet för GitHub.
Det finns en extra resident
alternativ, men det lägger inte till ytterligare säkerhet och dess användning är mer komplex.
Xavier Chapron
Firmwareingenjör
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.ledger.com/blog/strengthen-the-security-of-your-accounts-with-webauthn
- : har
- :är
- :inte
- :var
- $UPP
- 1
- 10
- 11
- 14
- 15%
- 20
- 2023
- 2FA
- 35%
- 8
- a
- Om Oss
- godkännande
- tillgång
- Konto
- konton
- verkande
- aktörer
- lägga till
- Annat
- Antagande
- Efter
- igen
- mot
- Recensioner
- skott
- Alla
- Alliance
- tillåter
- tillåta
- tillåter
- längs
- redan
- också
- an
- och
- android
- vilken som helst
- API: er
- app
- Ansökan
- tillämpningar
- lämpligt
- ÄR
- AS
- Tillgångar
- associerad
- At
- attackera
- Attacker
- autentisera
- Autentisering
- godkänna
- tillgänglig
- AWS
- Banking
- baserat
- BE
- varit
- vägnar
- bakom
- Bättre
- bob
- överträdelser
- webbläsare
- Byggnad
- byggt
- men
- by
- KAN
- Kort
- Vid
- certifikat
- utmanar
- krom
- kombinera
- Gemensam
- Trygghet i vårdförloppet
- kompatibilitet
- komplex
- dator
- databehandling
- Bekräfta
- Anslutning
- samtycke
- Tänk
- begränsningar
- Motsvarande
- räkna
- skapa
- skapas
- skapar
- Skapa
- CREDENTIAL
- referenser
- kriterier
- kritisk
- kryptografisk
- kryptografi
- Aktuella
- kurva
- databaser
- dedicerad
- Standard
- Delta
- utformade
- önskas
- detaljerad
- upptäcka
- utvecklade
- utvecklare
- anordning
- enheter
- Skillnaden
- olika
- digital
- Digitala tillgångar
- visas
- gör
- inte
- domän
- gjort
- dropbox
- grund
- under
- e
- varje
- kant
- elementet
- element
- aktiverad
- ange
- utvärdering
- Även
- exempel
- Förekomsten
- erfarenhet
- förklaring
- extrahera
- underlättar
- faktor
- MISSLYCKAS
- fejka
- Favoriten
- Leverans
- FIDO Alliance
- hitta
- fingeravtryck
- firefox
- Blixt
- efter
- För
- bedräglig
- från
- generera
- generering
- skaffa sig
- gå
- GitHub
- Google Play
- Hackaren
- hade
- hända
- hårdvara
- Hårdvara Säkerhet
- hash
- Har
- har
- he
- Hög
- hans
- Hur ser din drömresa ut
- Men
- HTTPS
- Identifiering
- identifierare
- Identitet
- if
- bild
- genomföra
- redskap
- in
- ingår
- ja
- informationen
- installera
- istället
- interagera
- interaktion
- invändigt
- Internationell
- in
- introducerade
- iOS
- iPadOS
- isolering
- IT
- DESS
- jpg
- bara
- hålls
- Nyckel
- nycklar
- Vet
- Menande
- känd
- Brist
- senare
- t minst
- Ledger
- Ledger Live
- Ledger Nano
- Ledger Nano S
- Äkta
- legitim
- Nivå
- hävstångs
- tycka om
- begränsningar
- Lista
- lever
- laster
- log
- logga in
- längre
- UTSEENDE
- Mac OS
- större
- Framställning
- hantera
- manuell
- manuellt
- många
- Maj..
- betyder
- menas
- mekanism
- mekanismer
- meddelande
- UD
- Microsoft
- kanske
- mer
- mest
- Motivation
- multipel
- namn
- Som heter
- nano
- Behöver
- behövs
- Nya
- Nej
- nu
- objekt
- erhållna
- of
- Erbjudanden
- on
- ONE
- nätet
- endast
- öppet
- drift
- operativsystem
- Verksamhet
- Alternativet
- or
- ursprung
- OS
- Övriga
- vår
- egen
- par
- parametrar
- del
- parti
- Godkänd
- lösenord
- perfekt
- utfört
- Nätfiske
- phishingattacker
- fysisk
- Plattformar
- plato
- Platon Data Intelligence
- PlatonData
- Spela
- plus
- Närvaron
- föregående
- privat
- privat nyckel
- Privata nycklar
- Produktion
- egenskapen
- skyddad
- ger
- tillhandahålla
- bevisa
- allmän
- Public Key
- offentliga nycklar
- kommit fram till
- erhåller
- mottagning
- rekommenderas
- rekommenderar
- hänvisar
- om
- registrera
- registrerat
- Registrering
- relaterad
- frigöra
- förlita
- renderar
- Repository
- begära
- förfrågningar
- Obligatorisk
- Krav
- elastisk
- avslöjande
- Risk
- rinnande
- s
- Safari
- på ett säkert sätt
- Samma
- sparade
- scenarier
- screen
- Andra
- §
- säkra
- säkert
- säkerhet
- säkerhetsbrott
- se
- sända
- sänder
- känslig
- September
- server
- Servrar
- service
- Tjänster
- inställningar
- SHA256
- Dela
- aktier
- Kort
- skall
- signera
- namnteckning
- signerad
- webbplats
- situationer
- Mjukvara
- några
- ibland
- Källor
- specifik
- specifikationer
- standard
- starta
- Ange
- state-of-the-art
- Steg
- stulna
- förvaring
- lagra
- lagras
- Stärka
- sådana
- stödja
- Som stöds
- system
- Teknologi
- den där
- Smakämnen
- Dem
- sig själva
- sedan
- därför
- de
- Tredje
- detta
- Genom
- till
- verktyg
- Totalt
- Rör
- försöker
- två
- ubuntu
- unika
- Uppdatering
- Uppdateringar
- på
- Användning
- användning
- Begagnade
- Användare
- Användarupplevelse
- användare
- användningar
- med hjälp av
- verifiera
- version
- mycket
- var
- Sätt..
- we
- webb
- webbläsare
- VÄL
- Vad
- medan
- som
- VEM
- varför
- bred
- wikipedia
- kommer
- fönster
- med
- inom
- utan
- skriven
- X
- Om er
- Din
- zephyrnet