Welche Sicherheitsschlüsselspezifikation ist für die Kompatibilität von WebAuthN erforderlich?

591
Rich

Ist es bereits möglich, einen mit WebAuthN kompatiblen Authentifizierungsschlüssel im USB-Pendel-Stil zu kaufen?

Wenn ja, welche technische Norm / Spezifikation sollte es unterstützen?

Laut Pressemitteilungen wie dieser ist es bereits möglich, aber ich würde gerne wissen, ob es Yubico ist, der zuerst auf den Markt kommt und etwas auf den Markt bringt, das möglicherweise nicht kompatibel ist, oder ob ein Schlüssel wie der in der Presse erwähnte Release ist kompatibel, da es den FIDO2-Standard implementiert.

0
Diese Frage hat nichts mit Yubikey zu tun. Ramhound vor 6 Jahren 0
[WebAuthN] (https://www.wired.com/story/webauthn-in-browsers/) wurde zu diesem Zeitpunkt in keinem Browser formal implementiert. Ramhound vor 6 Jahren 0
Ich habe weitere Informationen hinzugefügt - hoffentlich wird meine Frage dadurch klarer. Rich vor 6 Jahren 0
FIDO2! = WebAuthN Ramhound vor 6 Jahren 1

2 Antworten auf die Frage

3
grawity

Soweit ich verstehen kann, gibt es basierend auf Adam Langleys Blogbeitrag zwei verschiedene Ebenen:

  1. Das Protokoll (API), das von Websites für den Zugriff auf ein Token über den Browser verwendet wird. Derzeit verwenden Websites die "FIDO U2F JavaScript API" . Diese API wird von WebAuthn ersetzt.

  2. Das von Browsern (und anderer lokaler Software) verwendete Protokoll, um mit dem Token selbst zu kommunizieren. Derzeit verwenden FIDO U2F-Schlüssel das CTAPv1-Protokoll ("Client to Authenticator Protocol"), neue Geräte verwenden jedoch CTAPv2. Wenn Yubico über "FIDO2" spricht, meinen sie dieses Protokoll.

Obwohl die Upgrades aufeinander bezogen sind (CTAPv2 fügt neue Funktionen hinzu, die WebAuthn verwenden wird), sind die Schichten immer noch weitgehend unabhängig und Protokolle meistens abwärtskompatibel. Das ist:

  • Im Vergleich zu CTAPv1 besteht die Hauptaktualisierung von CTAPv2 darin, dass die Geräte über mehr Speicher verfügen, um sie als Hauptauthentifizierungsfaktor (und möglicherweise auch andere Funktionen) nutzen zu können.

    Bestehende U2F-Teile scheinen jedoch die gleichen wie in CTAPv1 zu bleiben (mehr oder weniger muss das Token nur digitale Signaturen ausführen).

  • Verglichen mit der FIDO U2F-API besteht die wichtigste Änderung in WebAuthn darin, wie Identifikatoren ("AppID") für die "vertrauende Seite", dh die Website, generiert werden.

    Token interessieren sich jedoch nicht für die interne Struktur des Bezeichners (er muss nur übereinstimmen), und WebAuthn hat sogar Bestimmungen, um die Verwendung vorhandener FIDO U2F-Registrierungen zu ermöglichen. (Neue Registrierungen über WebAuthn funktionieren jedoch nicht mit FIDO U2F.)

Wenn Sie also nur den zweiten Faktor (U2F) benötigen, scheinen alle vorhandenen Tokenmodelle weiterhin mit WebAuthn zu funktionieren.

1
Luke Walker

FIDO2 ist ein offener Authentifizierungsstandard, der aus der W3C- Webauthentifizierungsspezifikation (WebAuthn) und dem Client-zu-Authentifizierungsprotokoll (CTAP) besteht. CTAP ist ein Protokoll auf Anwendungsebene, das für die Kommunikation zwischen einem Client (Browser) oder einer Plattform (Betriebssystem) mit einem externen Authentifikator ( Security Key von Yubico ) verwendet wird. WebAuthn ist eine API, die einem Client oder einer Plattform die Erstellung und Verwendung von auf öffentlichen Schlüsseln basierenden Anmeldeinformationen bei einer Relying Party ermöglicht. Yubico leistet einen wesentlichen Beitrag zum CTAP-Protokoll. Die Spezifikation wird von der FIDO Alliance gehostet.

Verwandte Probleme