使用Yubico PIV工具和YubiKey PIV管理器,我可以将客户端TLS证书加载到PIV插槽中,并将其用于Firefox中的身份验证.这很棒.然而...
有没有办法阻止出口PIV的私钥?据我所知,PIV管理密钥只保护设备不被修改,但没有做任何事情来保护包含的内容不被导出.
如果这是准确的,YubiKey似乎并不像PIV 2FA设备那样,因为2因素假设"你拥有的东西",我插入设备的任何机器(或在后台运行的软件)都可以功能齐全的软拷贝.
我在Yubico论坛上交叉发布了这个问题.
以下是我演示问题的方法:
YubiKey不允许导出私钥,只允许导出公共证书.相反,我在YubiKey PIV经理中删除了(我看到的)一个错误.它不会正确删除私钥.
首先,虽然我要指出我在YubiKey中看到的一个错误,但我不得不说,我对Yubico提供的最终用户支持印象非常深刻.我引述:
我们试图帮助提交支持案例的每个人.即使是隔壁的白发奶奶
由于"删除证书"未从YubiKey中删除私钥,因此重新加载公钥(可由YubiKey导出)会生成功能性PIV接口.
我能够证明其他两种方法,实际上做清除私有密钥:
我在以下时无法进行身份验证:
最近我意识到这是最简单的方法.在"YubiKey PIV Manager"中只需按几下按钮.
我在以下时无法进行身份验证:
"重置"我的yubikey PIV模块
yubico-piv-tool -areset奇怪的是,我先锁定了我的密码和PUK.运行以下命令并输入错误输入超过3次的最简单方法(在PUK的情况下,您必须输入有效的新PIN和错误的PUK.呃.):
# Use to lock out PIN
yubico-piv-tool -averify-pin
# Use to lock out PUK
yubico-piv-tool -aunblock-pin
考虑到重置私钥的其他两种方法有多痛苦,"删除证书"是迄今为止从设备"擦除"证书的最简单方法.没有任何迹象表明其他两种方法是必要的.
Yubico建议在将设备传递给其他用户之前,"重置"是建议的操作.
就个人而言,我认为这是一个错误,但我不知道Yubico是否已售出.
这是我设想的糟糕情景:
| 归档时间: |
|
| 查看次数: |
1342 次 |
| 最近记录: |