您可能知道,您的 Ledger Nano 设备(Ledger Nano S、Nano S Plus 和 Nano X)是利用安全元件安全性的开放平台。 Ledger 操作系统 (OS) 加载使用加密 API 的应用程序。 该操作系统还提供隔离和密钥派生机制。
即使攻击者能够物理访问您的设备,该技术也能提供高水平的安全性,使您的 Ledger 设备成为安全管理数字资产的完美工具。 但它们也非常适合保护许多在线服务的登录凭据。
这就是为什么我们开发了一个名为的新应用程序 安全密钥,它实现了第二因素身份验证 (2FA)、多重身份验证 (MFA) 甚至无密码身份验证的 WebAuthn 标准。
由于操作系统的限制,此安全密钥应用程序有一些限制:
- 由于 Nano S 操作系统不支持 AES-SIV,因此它在 Nano S 上不可用。
- 支持可发现/常驻凭据,但存储在设备闪存的一部分上,删除应用程序后将被擦除。 这就是为什么它们默认情况下不启用,但如果需要,可以在设置中手动启用,风险自负。 这可能会发生:
- 如果用户选择从 Ledger Live 卸载它
- 如果用户选择将应用程序更新到新的可用版本
- 如果用户更新操作系统版本
什么是 WebAuthn?
Web Authentication 或简称 WebAuthn 是由 W3C 和 FIDO 联盟编写的标准。 它指定基于公钥加密而不是密码的用户身份验证机制。
建立这样一个标准的动机是,我们当前的在线存在是建立在密码之上的,并且大多数安全漏洞都与被盗或弱密码有关。
利用公钥加密安全机制
公钥加密也称为非对称加密,是一种基于两个关联密钥的加密机制:
- 应该保密的私钥
- 可以共享的公钥
这些密钥共享以下属性:
- 公钥可用于验证消息是否已由私钥签名。
让我们考虑用户 Bob 创建密钥对并与 Alice 共享公钥。 如果鲍勃向爱丽丝发送一条消息,他可以使用他的私钥对消息进行签名,而爱丽丝可以使用公钥验证该消息确实是由鲍勃签署的,而鲍勃是唯一知道私钥是什么的人。
关于身份验证,这意味着用户可以创建密钥对并与在线服务共享公钥。 随后,用户可以通过向在线服务证明他们知道私钥来验证自己的身份。 所有这一切都无需将私钥发送到在线服务! 这意味着私钥不会在服务器数据库上被窃取,也不会在用户与服务器通信期间被拦截。
网络钓鱼攻击具有弹性
WebAuthn 标准还具有抵御传统网络钓鱼攻击的能力。
基本上,一个 钓鱼 攻击是指黑客诱骗您泄露敏感信息(在我们的例子中为登录凭据)的攻击。
与 OTP 等其他 MFA 机制相反,WebAuthn 机制能够抵御此类攻击。 事实上,每个密钥对都绑定到特定的来源或 Web 域,这意味着攻击试图诱骗您在不同的域中使用 WebAuthn 凭证(例如,带有 url 的虚假网站) best-service.com
而不是合法的网站网址 best.service.com
)将失败,因为身份验证设备没有该域的相应密钥对。 因此,攻击将会失败,对手不会得到任何有用的信息。
强大的硬件安全保障
WebAuthn 建议使用硬件安全元件来安全存储私钥。 关于Ledger安全密钥应用程序,私钥存储在设备安全元件(SE)内,该设备已通过通用标准安全评估(银行卡的国际标准和国家要求)并已获得EAL5+证书。 您可以找到有关 Ledger 设备认证的更多信息 相关信息.
经认证的注册
WebAuthn认证是经过认证的,这意味着服务器可以验证认证设备是否合法。 可以在某些服务上启用此功能,以仅授权一小部分身份验证设备或检测欺诈来源。
WebAuthn 的工作原理
首先让我们指定哪些是不同的参与者:
- 用户,就是您,尝试在在线服务上安全注册。
- 依赖党,它指的是使用 WebAuthn 提供对安全软件应用程序的访问的服务器。 例如谷歌、脸书、推特。
- 用户代理,指代表用户运行的任何软件, “检索、呈现并促进最终用户与 Web 内容的交互”。 例如,您最喜欢的操作系统上最喜欢的网络浏览器。
- 验证器,是指用于确认用户身份的手段。 在本例中,这是运行安全密钥应用程序的 Ledger Nano 设备。
有两个主要的 WebAuthn 操作,可以通过以下方式恢复:
- 注册期间:
- 此 验证器 接收到一个请求,通过 用户代理, 来自 依赖党,包含依赖方源或 Web 域以及用户标识符和(可选)用户名。
- 此 验证器 要求 用户 同意,创建唯一的密钥对,然后用公钥响应依赖方。
- 认证期间:
- 此 验证器 接收到,通过 用户代理,来自的请求 依赖党,包含依赖方来源或 Web 域以及挑战。
- 此 验证器 要求 用户 同意,然后回复一条消息,其中包含使用注册凭证关联的私钥创建的签名。
您可以找到有关 WebAuthn 背后机制的更详细说明 相关信息.
与Ledger FIDO-U2F Nano App的区别
Ledger FIDO-U2F 应用程序正在实现 FIDO U2F,这是 FIDO2 的早期版本,包含在 WebAuthn 标准中。 之前的版本旨在用作密码的第二个因素,而 WebAuthn 旨在允许无密码身份验证。
在全球范围内,它可以提供更好的用户体验:
- 在带有屏幕的身份验证设备上,现在可以显示依赖方来源(或服务域)而不是其哈希值。
- FIDO2 规范中引入了可发现凭证(也称为驻留密钥)。 它们允许无密码场景,用户甚至不需要在服务上输入其用户名。 相反,在执行注册后,依赖方可以请求仅使用其来源进行身份验证,而无需凭证列表。 收到此类请求后,身份验证器会查找与该依赖方关联的内部存储(驻留)凭据,并使用它们来对用户进行身份验证。
兼容性
许多操作系统和网络浏览器都支持 WebAuthn 标准,因此 Ledger 安全密钥应用程序受支持:
- 在 Windows 10 及更高版本上,至少在 Edge、Chrome 和 Firefox 上受支持
- 在 MacOS 11.4 及更高版本上,Safari 和 Chrome 支持它,但目前仅在 Firefox 上部分可用。 由于已知 Safari 不稳定,建议使用 Chrome。
- 在 Ubuntu 20.04 及更高版本上,Chrome 受支持,但目前 Firefox 上仅部分可用。
- 在 iOS 14 和 iPadOS 15.5 及更高版本上,Safari、Chrome 和 Firefox 支持
- 在 Android 上,目前尚不支持。 它应该从 Google Play 服务 v23.35(2023 年 XNUMX 月版本)开始。
使用 Ledger 安全密钥应用程序
网络认证服务
WebAuthn 现已得到广泛采用。 因此,Ledger 安全密钥应用程序可用于许多服务的多因素身份验证,有时也可用于无密码身份验证。
以下是实现 Webauthn 的服务的摘录:
- 1Password
- AWS
- Binance
- 到位桶
- Dropbox
- 甘地
- 双子座
- GitHub上
- GitLab
- 谷歌
- 微软
- 高层云
- Salesforce
- Shopify商铺
- Twitch
逐步示例
- 下载 Ledger Live 并在“我的 Ledger”部分中选择安全密钥应用程序,将其安装到您的设备上
- 在所需服务(AWS、Dropbox、Facebook、Google、GitHub、Microsoft、Twitter 等)上设置适当的设置
- 使用您的安全密钥登录!
由于将第三方服务的安全性与我们的安全密钥应用程序相结合,您现在已经为您的帐户启用了最先进的安全性
保护您的 SSH 密钥
开发人员在某些关键情况下使用 SSH 密钥,从对 GIT 服务器进行身份验证,到连接到关键生产服务器。 Ledger 设备已经有了一种使用 Ledger SSH Nano 应用程序来保护 SSH 密钥的方法。 然而,这需要在您的计算机上使用专用的 Nano 应用程序和代理。 这已不再是这种情况。 OpenSSH 8.2 引入了一项新功能,允许“本机”使用 FIDO 身份验证设备进行 SSH 密钥存储。
使用示例
让我们看看如何使用它与 GitHub 存储库进行交互:
1. 创建一对:
$ssh-keygen -t ed25519-sk -f ~/.ssh/id_mykey_sk Generating public/private ed25519-sk key pair.
You may need to touch your authenticator to authorize key generation.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/user/.ssh/id_mykey_sk
Your public key has been saved in /home/user/.ssh/id_mykey_sk.pub
The key fingerprint is:
SHA256:ZdHzzXRboYdbVXpLN12EKyDEYycNMDXRJV45ECYEBp8 user@LPFR0218
The key's randomart image is:
+[ED25519-SK 256]-+
| ..=BO=*=o. +B|
| o o*==+= +.B|
| E. =+. *.XB|
| o . Bo*|
| S o . |
| |
| |
| |
| |
+----[SHA256]-----+
2. 将 SSH 密钥注册到您的 GitHub 帐户中(请参阅 GitHub 文档)
3. 例如使用它来克隆存储库:
$git clone :LedgerHQ/app-bitcoin-new.git
Cloning into 'app-bitcoin-new'...
Confirm user presence for key ED25519-SK SHA256:iGu/I9kjxypEHkQIGmgTLBCA8ftm4Udu1DfkK2BwE0o
remote: Enumerating objects: 5625, done.
remote: Counting objects: 100% (10/10), done.
remote: Compressing objects: 100% (10/10), done.
remote: Total 5625 (delta 1), reused 2 (delta 0), pack-reused 5615
Receiving objects: 100% (5625/5625), 2.11 MiB | 636.00 KiB/s, done.
Resolving deltas: 100% (4055/4055), done.
如果您有多个 SSH 密钥,您可以按照 这个 StackOverflow 答案 选择特定键而不是默认键。
参数
使用创建 SSH 密钥对时 ssh-keygen
和您的安全密钥,您可以:
- 通过指定以下任一方式选择密钥对生成曲线
-t ed25519-sk
or-t ecdsa-sk
- 通过指定允许使用 SSH 私钥而无需手动接受安全密钥
-O no-touch-required
。 但是,某些服务可以拒绝此类身份验证,GitHub 就是这种情况。
还有一个额外的 resident
选项,但它不会增加额外的安全性,并且其用法更复杂。
泽维尔·查普伦
固件工程师
- :具有
- :是
- :不是
- :在哪里
- $UP
- 1
- 10
- 11
- 14
- 15%
- 20
- 2023
- 2FA
- 35%
- 8
- a
- 关于
- 验收
- ACCESS
- 账号管理
- 账户
- 演戏
- 演员
- 加
- 额外
- 采用
- 后
- 再次
- 驳
- 经纪人
- 爱丽丝
- 所有类型
- 联盟
- 让
- 允许
- 允许
- 沿
- 已经
- 还
- an
- 和
- 安卓
- 任何
- APIs
- 应用
- 应用领域
- 应用领域
- 适当
- 保健
- AS
- 办公室文员:
- 相关
- At
- 攻击
- 攻击
- 认证
- 认证
- 授权
- 可使用
- AWS
- 银行业
- 基于
- BE
- 很
- 代表
- 背后
- 更好
- 粮食
- 违规
- 浏览器
- 建筑物
- 建
- 但是
- by
- CAN
- 牌
- 案件
- 证书
- 挑战
- 铬系列
- 结合
- 相当常见
- 通信
- 兼容性
- 复杂
- 一台
- 计算
- 确认
- 连接
- 同意
- 考虑
- 约束
- 相应
- 计数
- 创建信息图
- 创建
- 创建
- 创造
- 凭据
- 资历
- 标准
- 危急
- 加密
- 加密技术
- 电流
- 曲线
- 数据库
- 专用
- 默认
- Delta
- 设计
- 期望
- 详细
- 检测
- 发达
- 开发
- 设备
- 设备
- 差异
- 不同
- 数字
- 数字资产
- 显示
- 不
- 不会
- 域
- 完成
- Dropbox
- 两
- ,我们将参加
- e
- 每
- 边缘
- element
- 分子
- 启用
- 输入
- 评估
- 甚至
- 例子
- 存在
- 体验
- 解释
- 提取
- 功能有助于
- 因素
- 失败
- 假
- 喜爱
- 专栏
- FIDO联盟
- 找到最适合您的地方
- 指纹
- 火狐
- Flash
- 以下
- 针对
- 欺诈
- 止
- 发电
- 代
- 得到
- 混帐
- GitHub上
- 谷歌
- Google Play
- 黑客
- 民政事务总署
- 发生
- 硬件
- 硬件安全
- 哈希
- 有
- 有
- he
- 高
- 他的
- 创新中心
- 但是
- HTTPS
- 鉴定
- 识别码
- 身分
- if
- 图片
- 实施
- 器物
- in
- 包括
- 的确
- 信息
- 安装
- 代替
- 相互作用
- 相互作用
- 内部
- 国际
- 成
- 介绍
- iOS
- iPadOS 端应用程序
- 隔离
- IT
- 它的
- JPG
- 只是
- 不停
- 键
- 键
- 知道
- 会心
- 已知
- 缺乏
- 后来
- 最少
- 莱杰
- Ledger Live
- Ledger Nano
- Ledger Nano S
- 合法的
- 合法
- Level
- 借力
- 喜欢
- 限制
- 清单
- 生活
- 负载
- 日志
- 登录
- 不再
- LOOKS
- MacOS的
- 主要
- 制作
- 管理
- 手册
- 手动
- 许多
- 可能..
- 手段
- 意思
- 机制
- 机制
- 的话
- 外交部
- 微软
- 可能
- 更多
- 最先进的
- 动机
- 多
- 姓名
- 命名
- 纳米
- 需求
- 打印车票
- 全新
- 没有
- 现在
- 对象
- 获得
- of
- 优惠精选
- on
- 一
- 在线
- 仅由
- 打开
- 操作
- 操作系统
- 运营
- 附加选项
- or
- 起源
- OS
- 其他名称
- 我们的
- 己
- 对
- 参数
- 部分
- 党
- 通过
- 密码
- 执行
- 钓鱼
- 网络钓鱼攻击
- 的
- 平台
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 播放
- 加
- 存在
- 以前
- 私立
- 私钥
- 私钥
- 生产
- 财产
- 保护
- 提供
- 优
- 证明
- 国家
- 公钥
- 公钥
- 达到
- 接收
- 招待会
- 建议
- 建议
- 指
- 关于
- 寄存器
- 在相关机构注册的
- 注册
- 有关
- 释放
- 依托
- 呈现
- 知识库
- 请求
- 要求
- 必须
- 岗位要求
- 弹性
- 揭示
- 风险
- 运行
- s
- Safari
- 安然
- 同
- 保存
- 情景
- 屏风
- 其次
- 部分
- 安全
- 安全
- 保安
- 安全漏洞
- 看到
- 提交
- 发送
- 敏感
- 九月
- 服务器
- 服务器
- 服务
- 特色服务
- 设置
- SHA256
- Share
- 分享
- 短
- 应该
- 签署
- 签名
- 签
- 网站
- 情况
- 软件
- 一些
- 有时
- 来源
- 具体的
- 规格
- 标准
- 开始
- 州/领地
- 国家的最先进的
- 步
- 被盗
- 存储
- 商店
- 存储
- 加强
- 这样
- SUPPORT
- 支持
- 系统
- 专业技术
- 这
- 他们
- 他们自己
- 然后
- 因此
- 他们
- 第三
- Free Introduction
- 通过
- 至
- 工具
- 合计
- 触摸
- 试图
- 二
- Ubuntu
- 独特
- 更新
- 最新动态
- 上
- 用法
- 使用
- 用过的
- 用户
- 用户体验
- 用户
- 使用
- 运用
- 确认
- 版本
- 非常
- 是
- 方法..
- we
- 卷筒纸
- 网页浏览器
- 井
- 什么是
- 而
- 这
- WHO
- 为什么
- 宽
- 维基百科上的数据
- 将
- 窗户
- 中
- 也完全不需要
- 书面
- X
- 完全
- 您一站式解决方案
- 和风网