Zitat:
Zurück zur Anfangsfrage:
Was bring Yubikey für einen Vorteil? Der "einfache" Key hat keinen Fingerprint und in der Dokumentation haben wir nichts gefunden, dass die Kommunikation asymetrisch verschlüsselt erfolgt. Wie sichert Yubikey einen Man in the middle Angriff ab und verhindert das kopieren von Daten auf ein Zweitterminal in Echtzeit. So wie wir das bisher verstanden haben, kann man mit einer entpsrechenden Schnittstelle (USB Kabel, Zwischenadapter mit Logic, ähnlich einem Keylogger, etc.) das Ergebnis vom Yubikey auch auf einen anderen PC mit verwenden. Da ist wird noch nicht mal das Zeitverhalten in der Kommunikation geprüft.
Also prinzipiell implementieren die Keys den Fido2 Standard. D.h. Private Keys werden auf dem Key gespeichert, Public Keys an die Anwendung
weiter gegeben (Enrollment).
Die Authentifizierung findet in der App statt: Die Applikation kreiert eine Zufallschallenge (z.B. 32Byte Zeichenfolge)
-> diese wird an den Key übergeben -> der Verschlüsselt den Key mit seinem Private Key -> Das Ganze kommt zurück zur App und kann da
per Public Key wieder entschlüsselt werden.
(Assertion)
Also der Standard ist da eigentlich recht klar... Die Library unterstützt RSA und Elliptical Curves - ich bin bisher nur über die
EC curves
bei Yubiko und SoloKeys und RSA beim IPhone Passkey gestolpert.
Wie wärs eigentlich mit IOS/Android Passkeys? Die sind sehr artverwandt (siehe Webauthn aka Fido2 übers Web) mit etwas weniger Sicherheit insgesamt. Die Biometrie übernimmt das Handy
. Nur brauchen dann Client PC und Handy nen Internetzugang...