Open source, DIY U2F USB token

Ciao lista,

Per gli hardware-hackers tra noi, ho letto di questo progetto per costruirsi una chiavetta U2F da zero, compreso di schematiche per il circuito stampato, case in 3d e firmware. Tutte le indicazioni si trovano qui:

https://github.com/conorpp/u2f-zero

Se ci fosse qualcuno esperto che ha voglia di seguirci, ci si potrebbe organizzare in gruppo e costruirli insieme! (Il costo del programmatore è sui 35 dollari e quello di ciascuna chiave sotto i 5, secondo l'autore).

Ciao,
Daniele

Scusa la GNU-ranza ma,

1) a che serve?
2) siamo sicuri sia sicuro?

Scusa la GNU-ranza ma,

1) a che serve?

U2F é uno standard per aggiungere un secondo fattore di autenticazione su diversi siti web, ma anche su pam con alcuni moduli.

2) siamo sicuri sia sicuro?

La parte crittografica è implementata in hardware da un componente che ha un suo firmware, non rilasciato come software libero per quello che so.

Esistono alternative "prefatte" come la yubikey che possiedo e con cui mi trovo molto bene, anche questa USA un firmware proprietario.

In alcuni casi avere soluzioni "fatte in casa" ti aiuta perché chi vuole fare un attacco spesso punta per primi ai prodotti più diffusi, in altri casi le soluzioni fatte in casa sono talmente deboli che cedono senza nemmeno essere attaccate :wink: (non mi sembra questo il caso).

Ciao,
Daniele

>2) siamo sicuri sia sicuro?

La parte crittografica è implementata in hardware da un componente che
ha un suo firmware, non rilasciato come software libero per quello che
so.

Era questo che intendevo. È _sicuro_ che non è sicuro.

Esistono alternative "prefatte" come la yubikey che possiedo e con cui
mi trovo molto bene, anche questa USA un firmware proprietario.

Quindi il problema rimane.

In alcuni casi avere soluzioni "fatte in casa" ti aiuta perché chi
vuole fare un attacco spesso punta per primi ai prodotti più diffusi, in
altri casi le soluzioni fatte in casa sono talmente deboli che cedono
senza nemmeno essere attaccate :wink: (non mi sembra questo il caso).

Va beh ma comunque il problema rimane. Speriamo FSF o EFF ci forniscano
prima o poi qualcosa di decente...

Ci sono soluzioni molto più semplici e difficili da attaccare come la
chiavetta che uso per la banca, con un elenco di numeri casuali
collegati. Basta una eeprom un display e un tasto. Se voi puoi metterci
un blocco di qualche genere a piacere...

bye

Era questo che intendevo. È _sicuro_ che non è sicuro.

Questo è il chip utilizzato nel progetto di sopra:
http://www.atmel.com/devices/ATECC508A.aspx
La sicurezza dipende se il RNG è implementato bene (la parola FIPS non
ispira tanta fiducia), come sono protette le chiavi all'interno del chip
e se ci sono delle back-door o bachi nell'implementazione.

Speriamo FSF o EFF ci forniscano prima o poi qualcosa di decente...

Questo è improbabile, IMHO. È difficile proteggere le chiavi all'interno
di un microcontrollore. Questi chip esistono per rendere più difficile e
per aumentare il costo di estrarre le chavi.

Un progetto simile (non un U2F token, ma un cryptographic token per
GnuPG) è http://www.fsij.org/doc-gnuk/ però in quel progetto usano dei
microprocessori standard, ed è facile leggere il contenuto da un
dispositivo del genere.

Se dovessi scegliere, direi che un dispositivi tipo ATECC508A sia più
sicuro. Questo però dipende da quale tipo di attacco ti devi proteggere.

Ci sono soluzioni molto più semplici e difficili da attaccare come la
chiavetta che uso per la banca, con un elenco di numeri casuali
collegati. Basta una eeprom un display e un tasto. Se voi puoi metterci
un blocco di qualche genere a piacere...

Però qua ti serve un side-channel sicuro per il trasferimento dei numeri
casuali. E ti devi fidare che il database dove sono memorizzati i tuoi
numeri sia sicuro.

Thomas

Ciao,

kennt jemand dies hier, klingt vielversprechend, da webseite auch
auf Russisch :wink:

schönen tag,
konrad

Auf der GnuPG mailing list wurde er gerade besprochen, siehe
http://lists.gnupg.org/pipermail/gnupg-users/2016-June/056222.html
und die beiden Antworten von flapflap und Werner Koch.

Der Nitrokey ist praktisch ein Smart Card Lesegerät mit integrierter
Chipkarte. Die Verschlüsselung wird auf der Chipkarte (proprietär)
ausgeführt.

Thomas