bezpečnost

YubiKey NEO a OATH applet

Standardní YubiKey obsahuje vlastní implementaci jednorázových hesel se specifickým formátem. Na druhou stranu populární služby poslední dobou umožňují dvoufázovou autentizaci, ale typicky s návodem na podporu google authenticatoru - tedy generování hesel dle TOTP standardu o 6 znacích. Pro standardní YubiKey existuje aplikace, která generuje TOTP hesla. Nicméně každý seed zabere jeden slot v YubiKey (a sloty jsou zde jen dva) a přitom každá služba vygeneruje a vnutí seed vlastní. Nicméně pro YubiKey NEO existuje jiná varianta - doinstalování OATH appletu a ukládání seedů do něj - není to závislé na slotech YubiKey a seedů lze přidat relativně mnoho. A to možná nejlepší - hesla lze přečíst i pomocí mobilu/tabletu přes NFC.

YubiKey a PAM

Další pokračování návodu s používáním YubiKey tokenů. Tentokrát se podíváme na PAM modul pam_yubico, který v rámci PAMu umožňuje ověřovat yubikey jednorázová hesla. Konkrétně to vyzkoušíme na SSH, nicméně tím, že je to PAM modul, nic nebrání tomu využít OTP autentizaci jinde - přímo do systému, na screensaver, atd.

YubiKey NEO a OpenPGP Card

V předchozím blogu o klíči YubiKey NEO bylo nastíněno, že může fungovat i jako OpenPGP Card. Tedy stát se pro PGP (resp. budeme zkoumat GnuPG) tím, co jsou hardwarové PKI tokeny pro X.509 certifikáty. Výhodou tedy je, že privátní klíč je uložen přímo v klíči a nelze jej softwarově nijak vyexportovat ven. Operace, při kterých je privátní klíč potřeba (podepisování, dešifrování) se pak provádí tak, že data se předají klíči a ten vrátí zpracovaná data zpátky. Narozdíl od situace, kdy privátní klíč je uložen na disku počítače, tady prakticky nelze privátní klíč zkopírovat bez vědomí jeho vlastníka. Lze ukrást celý token, ale toho si vlastník patrně již všimne.

YubiKey NEO

Navzdory tomu, že od začátku 21. století již pěkných pár let uplynulo, nejčastější metodou autentizace je stále heslo. Poslední dobou se často objevuje možnost tzv. dvoufázové autentizace. Ta má podobu buď kódu zaslaného jiným kanálem (nejčastěji SMS) nebo jednorázového hesla generovaného na základě nějakého sdíleného tajemství, který zná pouze autentizační server a uživatel. S rozšiřováním chytrých telefonů a aplikaci Google Authenticator (a jim podobných) je druhá metoda také stále častější. Nicméně nejde o žádnou velkou novinku, autentizační hardwarové tokeny na bázi jednorázových hesel tu už nějakou dobu existují...

HowTo o zabezpečování SSH

V sekci howto přibyl nový návod, jak o něco zvýšit bezpečnost SSH daemona. Mezi postupy je například zmíněno i omezování oprávnění proti jednotlivým klíčům (a o této možnosti se příliš často nepíše).

Zabezpečování SSH

Článků a blogů s podobným tématem je po internetu mnoho. Proč tedy další takový? Jak jsem v poslední době zjistil, SSH nabízí i několik dalších zajímavých možností, které celkové zabezpečení zvednou, jen se o nich až tak moc nemluví, což si myslím, že je škoda. Chtěl bych tedy napsat nějaký celkový přehled (ač jistě také spoustu věcí opomenu), čím vším lze zvýšit zabezpečení SSH démona.

USB Tokeny a jak je použít

Většina dnes běžně používaných asymetrických šifrovacích algoritmů stojí na principu veřejného a privátního klíče. A je jedno, zda jde o podepisování e-mailů, autorizaci do VPN či cokoliv jiného - pokud se někdo zmocní privátního klíče, je obvykle zaděláno na velký problém. Vzhledem k tomu, že privátní klíč se obvykle válí jako soubor na disku, je riziko ukradení poměrně velké. Nešlo by to udělat nějak lépe?

Subscribe to bezpečnost