Как Электронный ключ от Yubico идентифицирует каждый ключ?

Согласно приведенному ниже предложению на этой странице, безопасность Ключ от Yubico НЕ имеет серийного номера.

Серийные номера уникальны для всех моделей YubiKeys, за исключением ключей безопасности, у которых нет серийных номеров.

Однако на демонстрационном сайте Yubico тот же Yubico может зарегистрировать электронный ключ в только 1 ключ .
Итак, я считаю, что у Yubico есть некоторый механизм для идентификации каждого Yubiko без использования серийного номера.
Тогда как аутентификатор на веб-сервере идентифицирует каждый ключ без серийного номера?


yubico fido-u2f
person task4233    schedule 16.07.2020    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Ответ находится в протоколе U2F (учетные данные с открытым ключом и метаданные аттестации):

Учетные данные открытого ключа

  1. Во время церемонии регистрации ключ безопасности генерирует пару ключей криптографии с открытым ключом. Закрытый ключ никогда не покидает ключ безопасности, а открытый ключ возвращается на веб-сайт в конце церемонии. Веб-сайт хранит эти учетные данные для последующей аутентификации.
  2. Во время церемонии аутентификации веб-сайт отправляет список разрешенных учетных данных с открытым ключом, зарегистрированных пользователем. Ключ безопасности сгенерирует утверждение U2F, которое возвращается на веб-сайт. Затем веб-сайт проверит, что утверждение было подписано закрытым ключом, и проверит, что все данные соответствуют ожидаемым.

Ознакомьтесь с обзором протокола U2F, чтобы узнать больше.

Подтверждение и метаданные

Каждое устройство Yubico имеет сертификат аттестации, подписанный корневым центром сертификации Yubico. Веб-сайт может подтвердить подлинность YubiKey, проверив его по корневому ЦС. Этот сертификат аттестации содержит метаданные, которые могут идентифицировать модель аутентификатора. Этот сертификат аттестации соответствует требованиям конфиденциальности U2F и не имеет никаких метаданных, которые можно использовать для индивидуальной идентификации конкретного ключа безопасности.

Подробнее об аттестации и метаданных Yubico U2F a.

person Luke Walker    schedule 16.07.2020
comment
Спасибо, Люк! И прошу прощения за поздний ответ. Теперь я понимаю, что сервер может идентифицировать каждый Yubico с помощью пары ключей, созданной закрытым ключом в Yubico. - person task4233; 07.10.2020