Можно ли купить ключ аутентификации в стиле USB, совместимый с WebAuthN?

Если да, какой технический стандарт / спецификацию он должен поддерживать?

Согласно пресс-релизам, таким как это, это уже возможно, но я хотел бы знать, пытается ли это Юбико быть первым на рынке и выпускает что-то, что может быть несовместимо, или же это ключ, такой как тот, на который ссылаются в прессе релиз совместим, потому что он реализует стандарт FIDO2.

2 ответа2

3

Насколько я понимаю, основываясь на сообщении в блоге Адама Лэнгли, существует два разных уровня:

  1. Протокол (API), используемый веб-сайтами для доступа к токену через браузер. В настоящее время веб-сайты используют "FIDO U2F JavaScript API", и именно этот API заменяет WebAuthn.

  2. Протокол, используемый браузерами (и другим локальным программным обеспечением) для связи с самим токеном. В настоящее время ключи FIDO U2F используют протокол CTAPv1 («Протокол клиент-аутентификатор»), но новые устройства будут использовать CTAPv2. Когда Юбико говорит о "FIDO2", они имеют в виду этот протокол.

Хотя обновления связаны друг с другом (CTAPv2 добавляет новые функции, которые будет использовать WebAuthn), уровни по-прежнему в основном независимы, а протоколы в основном обратно совместимы. То есть:

  • По сравнению с CTAPv1 основное обновление в CTAPv2 заключается в том, что устройства будут иметь больше места для хранения, чтобы их можно было использовать в качестве основного фактора аутентификации (и, возможно, других функций).

    Тем не менее, существующие части U2F, похоже, остаются такими же, как в CTAPv1 (более или менее токен просто должен делать цифровые подписи).

  • По сравнению с FIDO U2F API наиболее важным изменением в WebAuthn является то, как он генерирует идентификаторы ("AppID") для "проверяющей стороны", то есть веб-сайта.

    Однако токены не заботятся о внутренней структуре идентификатора (он должен соответствовать), и в WebAuthn даже есть положения, разрешающие использование существующих регистраций FIDO U2F. (Новые регистрации, сделанные через WebAuthn , не будут работать с FIDO U2F.)

Поэтому, если вам нужен только 2-й фактор (U2F), кажется, что все существующие модели токенов будут по-прежнему работать с WebAuthn.

1

FIDO2 - это открытый стандарт аутентификации, который состоит из спецификации веб-аутентификации W3C (WebAuthn) и протокола клиент-аутентификации (CTAP). CTAP - это протокол прикладного уровня, используемый для связи между клиентом (браузером) или платформой (операционной системой) с внешним аутентификатором (ключ безопасности от Yubico). WebAuthn - это API, позволяющий клиенту или платформе создавать и использовать учетные данные на основе открытого ключа с проверяющей стороной. Yubico является основным участником протокола CTAP, а спецификация размещена в FIDO Alliance.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .