Як ви, напевно, знаєте, ваші пристрої Ledger Nano (Ledger Nano S, Nano S Plus і Nano X) є відкритими платформами, які використовують безпеку Secure Elements. Операційна система (ОС) Ledger завантажує програми, які використовують криптографічні API. ОС також пропонує механізми ізоляції та виведення ключів.
Ця технологія забезпечує високий рівень безпеки навіть проти зловмисників, які мають фізичний доступ до ваших пристроїв, що робить ваші пристрої Ledger ідеальними інструментами для безпечного керування вашими цифровими активами. Але вони також дуже добре підходять для захисту ваших облікових даних для входу в багато онлайн-сервісів.
Ось чому ми розробили новий додаток під назвою Ключ захисту, який реалізує стандарт WebAuthn для автентифікації другого фактора (2FA), багатофакторної автентифікації (MFA) або навіть автентифікації без пароля.
Через обмеження ОС ця програма Key Security має деякі обмеження:
- Він недоступний на Nano S через відсутність підтримки AES-SIV на Nano S OS.
- Виявлені/резидентні облікові дані підтримуються, але зберігаються на частині флеш-пам’яті пристрою, яку буде стерто після видалення програми. Тому вони не ввімкнені за замовчуванням, але за потреби їх можна ввімкнути вручну на власний ризик у налаштуваннях. Це може статися:
- Якщо користувач вирішить видалити його з Ledger Live
- Якщо користувач вирішив оновити програму до нової доступної версії
- Якщо користувач оновлює версію ОС
Що таке WebAuthn?
Веб-автентифікація або скорочено WebAuthn — це стандарт, створений W3C і FIDO Alliance. Він визначає механізм автентифікації користувачів на основі криптографії відкритих ключів замість паролів.
Мотивацією для створення такого стандарту було те, що наше поточне онлайн-існування побудоване на паролях і що більшість порушень безпеки пов’язані з викраденими або слабкими паролями.
Використання механізму захисту криптографії з відкритим ключем
Криптографія з відкритим ключем, також відомий як асиметрична криптографія, є криптографічним механізмом, заснованим на наявності двох пов’язаних ключів:
- Приватний ключ, який слід зберігати в секреті
- Відкритий ключ, яким можна поділитися
Ці ключі мають такі властивості:
- Відкритий ключ можна використовувати для перевірки того, чи було повідомлення підписано закритим ключем.
Уявімо, що користувач Боб створює пару ключів і ділиться відкритим ключем з Алісою. Якщо Боб надсилає повідомлення Алісі, він може підписати повідомлення за допомогою свого закритого ключа, а Аліса може перевірити за допомогою відкритого ключа, що повідомлення дійсно було підписано Бобом, який єдиний знає, що таке закритий ключ.
Що стосується автентифікації, це означає, що користувач може створити пару ключів і надати відкритий ключ онлайн-службі. Пізніше користувач може пройти автентифікацію, підтвердивши онлайн-сервісу, що він знає закритий ключ. Усе це без необхідності надсилати закритий ключ до онлайн-сервісу! Це означає, що приватний ключ не можна вкрасти в базах даних сервера або перехопити під час спілкування між користувачем і сервером.
Стійкість до фішингових атак
Стандарт WebAuthn також має властивість бути стійким до класичних фішингових атак.
В основному, а phishing атака – це атака, під час якої хакер обманом змушує вас відкрити конфіденційну інформацію, у нашому випадку облікові дані для входу.
На відміну від інших механізмів MFA, таких як OTP, механізм WebAuthn стійкий до таких атак. Дійсно, кожна пара ключів прив’язана до певного джерела або веб-домену, що означає, що атака, яка намагається змусити вас використовувати облікові дані WebAuthn в іншому домені (наприклад, фальшивий сайт із URL-адресою best-service.com
замість законної URL-адреси сайту best.service.com
) не вдасться, оскільки пристрій автентифікації не матиме відповідної пари ключів для цього домену. Таким чином, атака буде невдалою, і супротивник не отримає жодної корисної інформації.
Сильна апаратна безпека
WebAuthn рекомендує використовувати апаратні елементи безпеки для безпечного зберігання закритих ключів. Що стосується програми Ledger Security Key, приватні ключі зберігаються в елементі безпеки пристрою (SE), який пройшов оцінку безпеки Common Criteria – міжнародний стандарт для банківських карток і державних вимог – і отримав сертифікат EAL5+. Ви можете знайти більше інформації про сертифікації пристроїв Ledger тут.
Завірені реєстрації
Автентифікація WebAuthn засвідчена, це означає, що сервер може підтвердити, що пристрій автентифікації є законним. Це можна ввімкнути в деяких службах, щоб авторизувати лише короткий список пристроїв автентифікації або виявити шахрайські джерела.
Як працює WebAuthn
Спочатку давайте визначимо, які різні актори:
- Команда користувач, тобто ви намагаєтеся безпечно зареєструватися в онлайн-сервісі.
- Команда Довіряюча сторона, який відноситься до сервера, що надає доступ до безпечного програмного забезпечення за допомогою WebAuthn. Наприклад, Google, Facebook, Twitter.
- Команда агент користувача, що відноситься до будь-якого програмного забезпечення, що діє від імені користувача «отримує, відтворює та полегшує взаємодію кінцевого користувача з веб-вмістом». Наприклад, ваш улюблений веб-браузер у вашій улюбленій операційній системі.
- Команда Аутентифікатор, який відноситься до засобу, який використовується для підтвердження особи користувача. У цьому випадку це ваш пристрій Ledger Nano, на якому запущено програму Security Key.
Є дві основні операції WebAuthn, які можна відновити як:
- Реєстрація під час якої:
- Authenticator отримує запит, через агент користувачаЗ Довіряюча сторона, що містить джерело або веб-домен перевіряючої сторони, а також ідентифікатор користувача та, за бажанням, ім’я користувача.
- Authenticator запитує користувач згода, створює унікальну пару ключів, а потім відповідає перевіряючій стороні відкритим ключем.
- Аутентифікація, під час якої:
- Authenticator отримує, через в агент користувача, запит від Довіряюча сторона, що містить джерело або веб-домен перевіряючої сторони разом із викликом.
- Authenticator запитує користувач згоди, а потім відповідає повідомленням, що містить підпис, створений за допомогою зареєстрованого закритого ключа, пов’язаного з обліковими даними.
Ви можете знайти більш детальне пояснення механізму WebAuthn тут.
Різниця з додатком Ledger FIDO-U2F Nano
Програма Ledger FIDO-U2F реалізує FIDO U2F, попередню версію FIDO2, яка входить до стандарту WebAuthn. Ця попередня версія була розроблена для використання як другого фактора для паролів, тоді як WebAuthn призначений для автентифікації без пароля.
У всьому світі це забезпечує кращий досвід користувача:
- На пристроях автентифікації з екраном джерело перевіряючої сторони (або домен служби) тепер може відображатися замість його хешу.
- Виявлені облікові дані (також звані резидентними ключами) були введені в специфікації FIDO2. Вони дозволяють сценарії без пароля, коли користувачеві навіть не потрібно вводити своє ім’я користувача в службі. Натомість після виконання Реєстрації Провіряюча сторона може запросити автентифікацію лише за своїм походженням і без списку облікових даних. Отримавши такий запит, автентифікатор шукає внутрішньо збережені (резидентні) облікові дані, пов’язані з цією перевіряючою стороною, і використовує їх для автентифікації користувача.
Сумісність
Стандарт WebAuthn і, отже, програма Ledger Security Key підтримується багатьма ОС і веб-браузерами:
- У Windows 10 і новіших версіях він підтримується принаймні в Edge, Chrome і Firefox
- У MacOS 11.4 і пізніших версіях він підтримується в Safari та Chrome, однак наразі він лише частково доступний у Firefox. Chrome рекомендовано через відомі нестабільності Safari.
- У Ubuntu 20.04 і пізніших версіях він підтримується в Chrome, однак наразі він лише частково доступний у Firefox.
- В iOS 14 і iPadOS 15.5 і новіших версіях він підтримується в Safari, Chrome і Firefox
- На Android наразі це не підтримується. Він повинен початися з Google Play Services v23.35 (випуск у вересні 2023 р.).
Використання програми Ledger Security Key
Служби WebAuthn
Зараз WebAuthn досяг широкого поширення. Тому програму Ledger Security Key можна використовувати в багатьох службах для багатофакторної автентифікації, а іноді й для автентифікації без пароля.
Ось витяг із служб, які реалізують Webauthn:
- 1Password
- AWS
- Binance
- Бітбукет
- Dropbox
- Gandi
- Близнюки
- GitHub
- GitLab
- Microsoft
- Okta
- Salesforce
- Shopify
- Сіпатися
Покроковий приклад
- Завантажте Ledger Live і виберіть програму Security Key у розділі «My Ledger», щоб установити її на свій пристрій
- Встановіть відповідні налаштування потрібного сервісу (AWS, Dropbox, Facebook, Google, GitHub, Microsoft, Twitter, …)
- Використовуйте свій ключ безпеки, щоб увійти!
Завдяки поєднанню безпеки вашої сторонньої служби та нашої програми Security Key ви тепер увімкнули найсучаснішу безпеку для своїх облікових записів
Захист ваших ключів SSH
Ключі SSH використовуються розробниками в деяких критичних ситуаціях, від автентифікації на сервері GIT до підключення до критичних робочих серверів. Пристрої Ledger вже мали спосіб захистити ваші ключі SSH за допомогою програми Ledger SSH Nano. Однак для цього потрібно було використовувати спеціальну програму Nano та агент на вашому комп’ютері. Це вже не так. OpenSSH 8.2 представив нову функцію, яка дозволяє «власне» використання пристроїв автентифікації FIDO для зберігання ключів SSH.
Приклад використання
Давайте подивимося, як це можна використовувати для взаємодії з репозиторієм GitHub:
1. Створіть пару:
$ssh-keygen -t ed25519-sk -f ~/.ssh/id_mykey_sk Generating public/private ed25519-sk key pair.
You may need to touch your authenticator to authorize key generation.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/user/.ssh/id_mykey_sk
Your public key has been saved in /home/user/.ssh/id_mykey_sk.pub
The key fingerprint is:
SHA256:ZdHzzXRboYdbVXpLN12EKyDEYycNMDXRJV45ECYEBp8 user@LPFR0218
The key's randomart image is:
+[ED25519-SK 256]-+
| ..=BO=*=o. +B|
| o o*==+= +.B|
| E. =+. *.XB|
| o . Bo*|
| S o . |
| |
| |
| |
| |
+----[SHA256]-----+
2. Зареєструйте ключ SSH у своєму обліковому записі GitHub (дивіться документацію GitHub)
3. Використовуйте його, наприклад, щоб клонувати репозиторій:
$git clone :LedgerHQ/app-bitcoin-new.git
Cloning into 'app-bitcoin-new'...
Confirm user presence for key ED25519-SK SHA256:iGu/I9kjxypEHkQIGmgTLBCA8ftm4Udu1DfkK2BwE0o
remote: Enumerating objects: 5625, done.
remote: Counting objects: 100% (10/10), done.
remote: Compressing objects: 100% (10/10), done.
remote: Total 5625 (delta 1), reused 2 (delta 0), pack-reused 5615
Receiving objects: 100% (5625/5625), 2.11 MiB | 636.00 KiB/s, done.
Resolving deltas: 100% (4055/4055), done.
Якщо у вас є кілька ключів SSH, ви можете слідувати ця відповідь StackOverflow щоб вибрати певний ключ замість стандартного.
параметри
Під час створення пари ключів SSH за допомогою ssh-keygen
і ваш ключ безпеки, ви можете:
- Виберіть криву генерації пари ключів, вказавши будь-який з них
-t ed25519-sk
or-t ecdsa-sk
- Дозволити використання приватного ключа SSH без ручного прийняття ключа безпеки, вказавши
-O no-touch-required
. Однак деякі служби можуть відмовити в такій автентифікації, це стосується GitHub.
Є доп resident
варіант, але він не додає додаткової безпеки та його використання складніше.
Ксав'є Шапрон
Інженер прошивки
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.ledger.com/blog/strengthen-the-security-of-your-accounts-with-webauthn
- : має
- :є
- : ні
- :де
- $UP
- 1
- 10
- 11
- 14
- 15%
- 20
- 2023
- 2FA
- 35%
- 8
- a
- МЕНЮ
- прийняття
- доступ
- рахунки
- Рахунки
- діючий
- актори
- додавати
- Додатковий
- Прийняття
- після
- знову
- проти
- Агент
- Аліса
- ВСІ
- Альянс
- дозволяти
- Дозволити
- дозволяє
- по
- вже
- Також
- an
- та
- чоловіча
- будь-який
- Інтерфейси
- додаток
- додаток
- застосування
- відповідний
- ЕСТЬ
- AS
- Активи
- асоційований
- At
- атака
- нападки
- перевіряти справжність
- Authentication
- авторизувати
- доступний
- AWS
- Banking
- заснований
- BE
- було
- імені
- за
- Краще
- боб
- порушення
- браузер
- Створюємо
- побудований
- але
- by
- CAN
- Cards
- випадок
- сертифікат
- виклик
- Chrome
- об'єднання
- загальний
- зв'язку
- сумісність
- комплекс
- комп'ютер
- обчислення
- підтвердити
- З'єднувальний
- згода
- Вважати
- обмеження
- Відповідний
- підрахунок
- створювати
- створений
- створює
- створення
- ІНТЕРЕНЦІЙНИЙ
- Повноваження
- Критерії
- критичний
- криптографічні
- криптографія
- Поточний
- крива
- базами даних
- присвячених
- дефолт
- Дельта
- призначений
- бажаний
- докладно
- виявляти
- розвиненою
- розробників
- пристрій
- прилади
- різниця
- різний
- цифровий
- Цифрові активи
- displayed
- робить
- Ні
- домен
- зроблений
- Dropbox
- два
- під час
- e
- кожен
- край
- елемент
- елементи
- включений
- Що натомість? Створіть віртуальну версію себе у
- оцінка
- Навіть
- приклад
- існування
- досвід
- пояснення
- витяг
- полегшує
- фактор
- FAIL
- підроблений
- Улюблений
- особливість
- Альянс FIDO
- знайти
- відбиток пальця
- Firefox
- спалах
- після
- для
- шахрайський
- від
- породжує
- покоління
- отримати
- Git
- GitHub
- в Google Play
- хакер
- було
- траплятися
- апаратні засоби
- Безпека обладнання
- мішанина
- Мати
- має
- he
- Високий
- його
- Як
- Однак
- HTTPS
- Ідентифікація
- ідентифікатор
- Особистість
- if
- зображення
- реалізації
- implements
- in
- включені
- дійсно
- інформація
- встановлювати
- замість
- взаємодіяти
- взаємодія
- внутрішньо
- Міжнародне покриття
- в
- введені
- iOS
- iPadOS
- ізоляція
- IT
- ЙОГО
- JPG
- просто
- збережений
- ключ
- ключі
- Знати
- Знання
- відомий
- відсутність
- пізніше
- найменш
- Гросбух
- Ledger Live
- Леджер Нано
- Ledger Nano S
- Законний
- законний
- рівень
- використання
- як
- недоліки
- список
- жити
- вантажі
- журнал
- Логін
- довше
- ВИГЛЯДИ
- MacOS
- основний
- Робить
- управляти
- керівництво
- вручну
- багато
- Може..
- засоби
- означав
- механізм
- механізми
- повідомлення
- МЗС
- Microsoft
- може бути
- більше
- найбільш
- мотивація
- множинний
- ім'я
- Названий
- нано
- Необхідність
- необхідний
- Нові
- немає
- зараз
- об'єкти
- отриманий
- of
- Пропозиції
- on
- ONE
- онлайн
- тільки
- відкрити
- операційний
- операційна система
- операції
- варіант
- or
- походження
- OS
- Інше
- наші
- власний
- пара
- параметри
- частина
- партія
- Пройшов
- Паролі
- ідеальний
- виконується
- phishing
- фішинг-атаки
- фізичний
- Платформи
- plato
- Інформація про дані Платона
- PlatoData
- Play
- плюс
- наявність
- попередній
- приватний
- Private Key
- Приватні ключі
- Production
- власність
- захищений
- забезпечує
- забезпечення
- доведення
- громадськість
- публічний ключ
- відкриті ключі
- досяг
- отримує
- прийом
- рекомендований
- рекомендує
- відноситься
- про
- реєструвати
- зареєстрований
- Реєстрація
- пов'язаний
- звільнити
- покладаючись
- надає
- Сховище
- запросити
- запитів
- вимагається
- Вимога
- пружний
- виявлення
- Risk
- біг
- s
- Safari
- безпечно
- то ж
- зберігаються
- сценарії
- Екран
- другий
- розділ
- безпечний
- безпечно
- безпеку
- Порушення безпеки
- побачити
- послати
- посилає
- чутливий
- Вересень
- сервер
- Сервери
- обслуговування
- Послуги
- налаштування
- SHA256
- Поділитись
- акції
- Короткий
- Повинен
- підпис
- підпис
- підписаний
- сайт
- ситуацій
- Софтвер
- деякі
- іноді
- Джерела
- конкретний
- специфікації
- standard
- старт
- стан
- впроваджений
- Крок
- вкрали
- зберігання
- зберігати
- зберігати
- Зміцнювати
- такі
- підтримка
- Підтриманий
- система
- Технологія
- Що
- Команда
- Їх
- самі
- потім
- отже
- вони
- третій
- це
- через
- до
- інструменти
- Усього:
- торкатися
- намагається
- два
- Ubuntu
- створеного
- Оновити
- Updates
- на
- Використання
- використання
- використовуваний
- користувач
- User Experience
- користувачі
- використовує
- використання
- перевірити
- версія
- дуже
- було
- шлях..
- we
- Web
- веб-браузер
- ДОБРЕ
- Що
- в той час як
- який
- ВООЗ
- чому
- широкий
- Вікіпедія
- волі
- windows
- з
- в
- без
- письмовий
- X
- Ти
- вашу
- зефірнет