V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
input2output
V2EX  ›  问与答

关于 FIDO2 key 的安全性

  •  
  •   input2output · 2021-07-01 14:25:54 +08:00 · 1535 次点击
    这是一个创建于 1244 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近想购买一个 yubiKey 类似的设备
    迫于 yubiKey 有点贵,加上有些功能用不到,所以准备选择其它品牌
    看到了一些中意的型号,但对它们存在安全顾虑
    查询了一些相关资料,基本只查到 FIDO2 的大致流程,而关于 Key 的实现原理却寥寥无几

    所以,对这些 Key 的安全性(技术上是否可能存在后门)存疑,希望各位提供解答

    提前感谢

    6 条回复    2021-07-01 22:04:41 +08:00
    billlee
        1
    billlee  
       2021-07-01 17:01:04 +08:00   ❤️ 2
    yubikey 有人拆过

    www.hexview.com/~scl/neo/

    外壳没有防拆设计,完全靠那颗安全芯片本身的防拆

    后门这事,我觉得人在中国就应该用美国设备,毕竟 cia 没办法来我家
    ysc3839
        2
    ysc3839  
       2021-07-01 20:00:42 +08:00 via Android   ❤️ 1
    技术原理是人家的私有技术,当然不会公开的,大部分消费电子产品也都不会公开原理的。
    至于后门,那当然是有可能了,这个只能靠信任了。
    0o0O0o0O0o
        3
    0o0O0o0O0o  
       2021-07-01 20:46:36 +08:00 via iPhone   ❤️ 1
    solokeys
    onlykey
    nitrikey

    opensk
    0o0O0o0O0o
        4
    0o0O0o0O0o  
       2021-07-01 20:46:48 +08:00 via iPhone
    @0o0O0o0O0o nitrokey
    0o0O0o0O0o
        5
    0o0O0o0O0o  
       2021-07-01 21:36:48 +08:00 via iPhone
    我也很好奇为什么连 Google 这些巨头都在一些关乎账户安全的场景(比如高级保护计划)推荐 yubikey,它们是如何信赖 yubico 这样一家公司的闭源产品的,有什么业界的审计措施来确保这一点吗?
    jim9606
        6
    jim9606  
       2021-07-01 22:04:41 +08:00
    @0o0O0o0O0o 首先这个由浏览器支持的 FIDO2 标准是 FIDO 联盟制定和维护的,Google 和 Yubico 是联盟两个主要成员。
    FIDO2 好歹是开放标准,你可以用别的品牌的硬件 key,只是 Yubikey 是主流选择。

    Yubikey4 闭源确实是个问题,不过企业订购的大可以通过 NDA 进行内部审查,一般人只能靠商誉信任了。除非你是完全自己生产(基本不可能做到),你无法避免要去信任一个硬件生产商的。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3606 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 00:47 · PVG 08:47 · LAX 16:47 · JFK 19:47
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.