| |
| yubikey4hk:yubikey_kurzbeschreibung [2020-07-01 09:51] – ↷ Page moved from forum_2.0:yubikey4hk:yubikey_kurzbeschreibung to yubikey4hk:yubikey_kurzbeschreibung Maximilian Barger | yubikey4hk:yubikey_kurzbeschreibung [2023-09-22 20:40] (current) – external edit 127.0.0.1 |
|---|
| * die Beantwortung von Challenge-Response-Anfragen, | * die Beantwortung von Challenge-Response-Anfragen, |
| * Zweifaktor-Authentifizierung mittels FIDO U2F / FIDO2, | * Zweifaktor-Authentifizierung mittels FIDO U2F / FIDO2, |
| * den [[forum_2.0:yubikey4hk:funktionen:openpgp|OpenPGP]] Standard | * den [[yubikey4hk:funktionen:openpgp|OpenPGP]] Standard |
| * und kann auch als Smartcard funktionieren (PIV). | * und kann auch als Smartcard funktionieren (PIV). |
| |
| |
| Jeder YubiKey der [[https://www.yubico.com/products/compare-yubikey-5-series/|YubiKey 5 Serie]] ist mit einem Button (Goldkontakt) und einer LED ausgestattet, um mit dem Benutzer zu kommunizieren. Auf den Bildern unten sieht man einen YubiKey 5 NFC mit rundem Goldkontakt in der Mitte und der LED - versteckt hinter dem Yubico "y".\\ | Jeder YubiKey der [[https://www.yubico.com/products/compare-yubikey-5-series/|YubiKey 5 Serie]] ist mit einem Button (Goldkontakt) und einer LED ausgestattet, um mit dem Benutzer zu kommunizieren. Auf den Bildern unten sieht man einen YubiKey 5 NFC mit rundem Goldkontakt in der Mitte und der LED - versteckt hinter dem Yubico "y".\\ |
| {{https://intern.hagenbergerkreis.at/wiki/_media/forum_2.0/yubikey4hk/yubikey5nfc.jpg?250|YubiKey 5 NFC}}{{https://intern.hagenbergerkreis.at/wiki/_media/forum_2.0/yubikey4hk/yubikey5nfc_led.jpg?256|YubiKey 5 NFC LED}}\\ | {{yubikey4hk/yubikey5nfc.jpg?250|YubiKey 5 NFC}}{{yubikey4hk/yubikey5nfc_led.jpg?256|YubiKey 5 NFC LED}}\\ |
| Der Button aktiviert schon bei leichten Druck und hat drei Funktionen: <sup>[[#Quellen|[2]]]</sup> | Der Button aktiviert schon bei leichten Druck und hat drei Funktionen: <sup>[[#Quellen|[2]]]</sup> |
| * Er kann eine Funktion triggern. (z.B.: Ausgeben des statischen Passworts) | * Er kann eine Funktion triggern. (z.B.: Ausgeben des statischen Passworts) |
| ^ Funktionen ^ USB Interface ^ Link zum Interface Standard ^ | ^ Funktionen ^ USB Interface ^ Link zum Interface Standard ^ |
| | OTP | Keyboard HID | [[https://www.usb.org/document-library/device-class-definition-hid-111|Device Class Definition for HID 1.11]] | | | OTP | Keyboard HID | [[https://www.usb.org/document-library/device-class-definition-hid-111|Device Class Definition for HID 1.11]] | |
| | [[forum_2.0:yubikey4hk:funktionen:fido2|FIDO2]] | FIDO HID | [[https://fidoalliance.org/specs/fido-u2f-v1.0-ps-20141009/fido-u2f-hid-protocol-ps-20141009.html|FIDO U2F HID Protocol Specification]] | | | [[yubikey4hk:funktionen:fido2|FIDO2]] | FIDO HID | [[https://fidoalliance.org/specs/fido-u2f-v1.0-ps-20141009/fido-u2f-hid-protocol-ps-20141009.html|FIDO U2F HID Protocol Specification]] | |
| | PIV | CCID | [[https://www.usb.org/document-library/smart-card-ccid-version-11|Smart Card CCID version 1.1]] | | | PIV | CCID | [[https://www.usb.org/document-library/smart-card-ccid-version-11|Smart Card CCID version 1.1]] | |
| | [[forum_2.0:yubikey4hk:funktionen:openpgp|OpenPGP]] | CCID | [[https://www.usb.org/document-library/smart-card-ccid-version-11|Smart Card CCID version 1.1]] | | | [[yubikey4hk:funktionen:openpgp|OpenPGP]] | CCID | [[https://www.usb.org/document-library/smart-card-ccid-version-11|Smart Card CCID version 1.1]] | |
| | OATH | CCID | [[https://www.usb.org/document-library/smart-card-ccid-version-11|Smart Card CCID version 1.1]] | | | OATH | CCID | [[https://www.usb.org/document-library/smart-card-ccid-version-11|Smart Card CCID version 1.1]] | |
| |
| **Static Password:** \\ Das Static Password ist mit einem normalen Passwort gleich zu stellen und kann somit bei einfachen Username/Passwort Lösungen verwendet werden. Das Static Password kann bis zu 65 Zeichen lang sein, wenn der Advanced Mode und der Prefix eingeschaltet worden sind. Die Verwendung eines Static Password belegt ebenfalls einen der zwei Slots 1 und 2. Abgesehen von der Länge ist das Static Password nicht besser wie ein normales Passwort. Die Nutzung dieser Funktion ist daher zu hinterfragen. Passwörter sind bei Bekanntwerden bis zum Passwortwechsel kompromittiert. Dieses Problem wird bei OTP-Verfahren abgeschwächt, da jedes Passwort nur einmal verwendet werden kann. <sup>[[#Quellen|[8]]]</sup>**Die Verwendung der Static Password Funktion sollten nur dann eingesetzt werden, wenn sonst keine andere Authentifizierungsmethode verwendet werden kann.** | **Static Password:** \\ Das Static Password ist mit einem normalen Passwort gleich zu stellen und kann somit bei einfachen Username/Passwort Lösungen verwendet werden. Das Static Password kann bis zu 65 Zeichen lang sein, wenn der Advanced Mode und der Prefix eingeschaltet worden sind. Die Verwendung eines Static Password belegt ebenfalls einen der zwei Slots 1 und 2. Abgesehen von der Länge ist das Static Password nicht besser wie ein normales Passwort. Die Nutzung dieser Funktion ist daher zu hinterfragen. Passwörter sind bei Bekanntwerden bis zum Passwortwechsel kompromittiert. Dieses Problem wird bei OTP-Verfahren abgeschwächt, da jedes Passwort nur einmal verwendet werden kann. <sup>[[#Quellen|[8]]]</sup>**Die Verwendung der Static Password Funktion sollten nur dann eingesetzt werden, wenn sonst keine andere Authentifizierungsmethode verwendet werden kann.** |
| |
| **FIDO2** und **FIDO U2F:** \\ [[forum_2.0:yubikey4hk:funktionen:fido2|FIDO2]] wurde von der FIDO Alliance standardisiert. Bei FIDO2 handelt es sich um eine Sammlung von [[https://fidoalliance.org/specs/fido-v2.0-ps-20190130/fido-client-to-authenticator-protocol-v2.0-ps-20190130.pdf|Spezifikationen]] von 2019, die sowohl passwortlose, als auch Zwei- oder Mehrfaktor Authentifizierungen bei Web Services ermöglichen. Hierfür können am YubiKey 25 Anmeldeinformationen gespeichert werden. Der YubiKey unterstützt außerdem die [[https://fidoalliance.org/specs/fido-u2f-v1.2-ps-20170411/|FIDO U2F Spezifikationen]] aus dem Jahr 2017, für die Möglichkeit der Zweifaktor Authentifizierung. Mit dieser Authentifizierungsmöglichkeit kann man sich bei beliebig vielen Web Services registrieren. Der große Vorteil gegenüber OTP liegt darin, dass kein symmetrischer Schlüssel verwendet wird, der initial zwischen Client und Server verschickt werden muss. Beide Verfahren verwenden nämlich Public-Key Kryptografie. Man-in-the-Middle Attacken, bei denen der symmetrische Schlüssel beim initialen Austausch kompromittiert wird, sind daher kein Problem.<sup>[[#Quellen|[2]]]</sup><sup>[[#Quellen|[9]]]</sup> | **FIDO2** und **FIDO U2F:** \\ [[yubikey4hk:funktionen:fido2|FIDO2]] wurde von der FIDO Alliance standardisiert. Bei FIDO2 handelt es sich um eine Sammlung von [[https://fidoalliance.org/specs/fido-v2.0-ps-20190130/fido-client-to-authenticator-protocol-v2.0-ps-20190130.pdf|Spezifikationen]] von 2019, die sowohl passwortlose, als auch Zwei- oder Mehrfaktor Authentifizierungen bei Web Services ermöglichen. Hierfür können am YubiKey 25 Anmeldeinformationen gespeichert werden. Der YubiKey unterstützt außerdem die [[https://fidoalliance.org/specs/fido-u2f-v1.2-ps-20170411/|FIDO U2F Spezifikationen]] aus dem Jahr 2017, für die Möglichkeit der Zweifaktor Authentifizierung. Mit dieser Authentifizierungsmöglichkeit kann man sich bei beliebig vielen Web Services registrieren. Der große Vorteil gegenüber OTP liegt darin, dass kein symmetrischer Schlüssel verwendet wird, der initial zwischen Client und Server verschickt werden muss. Beide Verfahren verwenden nämlich Public-Key Kryptografie. Man-in-the-Middle Attacken, bei denen der symmetrische Schlüssel beim initialen Austausch kompromittiert wird, sind daher kein Problem.<sup>[[#Quellen|[2]]]</sup><sup>[[#Quellen|[9]]]</sup> |
| |
| **OATH:** \\ Die OATH hat die zwei OTP Standards TOTP ([[https://tools.ietf.org/html/rfc6238|RFC6238]]) und HOTP ([[https://tools.ietf.org/html/rfc4226|RFC4226]]) spezifiziert. HOTP kennen wir schon: Eine der OTP Anwendungen, welche in den Slots 1 und 2 des YubiKey verwendet werden können. Mit der OATH-Funktionalität des YubiKey können zusätzlich noch einmal 32 OATH-Credentials (HOTP oder TOTP) gespeichert werden. Beim TOTP wird im Gegensatz zum HOTP kein Counter, sondern die aktuelle Zeit verwendet. Das von der aktuellen Zeit abgeleitete OTP ist immer nur für eine gewisse Zeitspanne (z.B. 30 Sekunden) gültig. Damit das funktioniert muss der YubiKey natürlich die aktuelle Zeit kennen. Zur Verwendung und Verwaltung von OATH gibt es deshalb den [[forum_2.0:yubikey4hk:yubikey_verwaltung|Yubico Authenticator]]. <sup>[[#Quellen|[2]]]</sup> Weitere Informationen gibt es auf der Website von Yubico. <sup>[[#Quellen|[10]]]</sup> | **OATH:** \\ Die OATH hat die zwei OTP Standards TOTP ([[https://tools.ietf.org/html/rfc6238|RFC6238]]) und HOTP ([[https://tools.ietf.org/html/rfc4226|RFC4226]]) spezifiziert. HOTP kennen wir schon: Eine der OTP Anwendungen, welche in den Slots 1 und 2 des YubiKey verwendet werden können. Mit der OATH-Funktionalität des YubiKey können zusätzlich noch einmal 32 OATH-Credentials (HOTP oder TOTP) gespeichert werden. Beim TOTP wird im Gegensatz zum HOTP kein Counter, sondern die aktuelle Zeit verwendet. Das von der aktuellen Zeit abgeleitete OTP ist immer nur für eine gewisse Zeitspanne (z.B. 30 Sekunden) gültig. Damit das funktioniert muss der YubiKey natürlich die aktuelle Zeit kennen. Zur Verwendung und Verwaltung von OATH gibt es deshalb den [[yubikey4hk:yubikey_verwaltung|Yubico Authenticator]]. <sup>[[#Quellen|[2]]]</sup> Weitere Informationen gibt es auf der Website von Yubico. <sup>[[#Quellen|[10]]]</sup> |
| |
| **PIV:**\\ | **PIV:**\\ |
| |
| **OpenPGP**\\ | **OpenPGP**\\ |
| [[forum_2.0:yubikey4hk:funktionen:openpgp|OpenPGP]] ist ein Standard ([[https://tools.ietf.org/html/rfc4880|RFC4880]]), der ein Nachrichtenformat zur Email-Verschlüsselung und Schlüsselspeicherung auf Basis von Asymmetrischer Kryptografie spezifiziert. Der große Vorteil laut Yubico ist dessen weite Verbreitung im Gnu/Linux Umfeld. Am YubiKey werden vier Slots für Schlüssel bereitgestellt. Je ein Schlüssel zur Authentifizierung, zum Verschlüsseln ((der hierfür gespeicherte Private-Key wird eigentlich zum Entschlüsseln verwendet, obwohl er Encryption-Key ("Verschlüsselungs-Schlüssel") heißt)) und zum Signieren und ein Platz für einen Beglaubigungsschlüssel (Attestation-Key). Wenn Yubico davon spricht "OpenPGP" als Funktionalität zu bieten, ist damit eine Implementierung der "OpenPGP Smart Card Application" Spezifikation gemeint. Also eine Spezifikation, wie genau man den OpenPGP Standard ([[https://tools.ietf.org/html/rfc4880|RFC4880]]) auf eine Smart Card (nach [[https://en.wikipedia.org/wiki/ISO/IEC_7816|ISO/IEC 7816]]) bekommt. In unserem Fall ist die Smart Card der YubiKey, der die Funktionalität als CCID zur Verfügung stellt. Die jeweils aktuellste Version der "OpenPGP Smart Card Application" gibt es auf der Seite von [[https://gnupg.org/ftp/specs/|GnuPG]]. Mit der derzeitigen Firmwareversion 5.2.4 implementiert der YubiKey Version [[https://gnupg.org/ftp/specs/OpenPGP-smart-card-application-3.4.0.pdf|3.4]]. <sup>[[#Quellen|[12]]]</sup> Genauere Informationen gibt es in unserem Wiki unter [[forum_2.0:yubikey4hk:funktionen:openpgp|OpenPGP]]. | [[yubikey4hk:funktionen:openpgp|OpenPGP]] ist ein Standard ([[https://tools.ietf.org/html/rfc4880|RFC4880]]), der ein Nachrichtenformat zur Email-Verschlüsselung und Schlüsselspeicherung auf Basis von Asymmetrischer Kryptografie spezifiziert. Der große Vorteil laut Yubico ist dessen weite Verbreitung im Gnu/Linux Umfeld. Am YubiKey werden vier Slots für Schlüssel bereitgestellt. Je ein Schlüssel zur Authentifizierung, zum Verschlüsseln ((der hierfür gespeicherte Private-Key wird eigentlich zum Entschlüsseln verwendet, obwohl er Encryption-Key ("Verschlüsselungs-Schlüssel") heißt)) und zum Signieren und ein Platz für einen Beglaubigungsschlüssel (Attestation-Key). Wenn Yubico davon spricht "OpenPGP" als Funktionalität zu bieten, ist damit eine Implementierung der "OpenPGP Smart Card Application" Spezifikation gemeint. Also eine Spezifikation, wie genau man den OpenPGP Standard ([[https://tools.ietf.org/html/rfc4880|RFC4880]]) auf eine Smart Card (nach [[https://en.wikipedia.org/wiki/ISO/IEC_7816|ISO/IEC 7816]]) bekommt. In unserem Fall ist die Smart Card der YubiKey, der die Funktionalität als CCID zur Verfügung stellt. Die jeweils aktuellste Version der "OpenPGP Smart Card Application" gibt es auf der Seite von [[https://gnupg.org/ftp/specs/|GnuPG]]. Mit der derzeitigen Firmwareversion 5.2.4 implementiert der YubiKey Version [[https://gnupg.org/ftp/specs/OpenPGP-smart-card-application-3.4.0.pdf|3.4]]. <sup>[[#Quellen|[12]]]</sup> Genauere Informationen gibt es in unserem Wiki unter [[yubikey4hk:funktionen:openpgp|OpenPGP]]. |
| |
| ===== Personalisierung ===== | ===== Personalisierung ===== |
| |
| Um den YubiKey für die gewünschte Verwendung einzurichten, stellt Yubico drei verschiedene Tools zur Verfügung.<sup>[[#Quellen|[13]]]</sup> Genaue Informationen zur Installation und Funktionsweise dieser Tools gibt es in unserem [[forum_2.0:yubikey4hk:yubikey_verwaltung|Artikel]] zur Yubikey-Verwaltung. Nachfolgend nun ein paar Informationen für eine erste Übersicht: | Um den YubiKey für die gewünschte Verwendung einzurichten, stellt Yubico drei verschiedene Tools zur Verfügung.<sup>[[#Quellen|[13]]]</sup> Genaue Informationen zur Installation und Funktionsweise dieser Tools gibt es in unserem [[yubikey4hk:yubikey_verwaltung|Artikel]] zur Yubikey-Verwaltung. Nachfolgend nun ein paar Informationen für eine erste Übersicht: |
| |
| **YubiKey Manager**\\ | **YubiKey Manager**\\ |
