Groups | Search | Server Info | Keyboard shortcuts | Login | Register [http] [https] [nntp] [nntps]
| From | Michael Bode <m.g.bode@web.de> |
|---|---|
| Newsgroups | ger.ct |
| Subject | Re: Fido2, Passphrase: Fragen zum Verständnis |
| Date | 2023-11-18 12:18 +0100 |
| Message-ID | <krrksfFq4vtU1@mid.individual.net> (permalink) |
| References | (1 earlier) <8asxgun6mavd$.dlg@kimmeringer.de> <20231117082455.61038863.dietz.usenet@rotfl.franken.de> <2u4dl7g3fq7s$.dlg@kimmeringer.de> <krptv1Fe92lU1@mid.individual.net> <20231118101217.6e3e0305.dietz.usenet@rotfl.franken.de> |
Dietz Proepper <dietz.usenet@rotfl.franken.de> writes:
> Michael Bode <m.g.bode@web.de> wrote:
>
>> Lothar Kimmeringer <news201705@kimmeringer.de> writes:
>> > Dietz Proepper wrote:
>> >> Lothar Kimmeringer <news201705@kimmeringer.de> wrote:
>> >>> Irgendwie werden da Begriffe durcheinandergewuerfelt. FIDO2
>> >>> (bzw. Webauthn) kann man mit einer Public-Key-Authentication
>> >>> vergleichen, d.h auf dem Stick befindet sich ein fest in die
>> >>> Hardware gebrannter Privater Schluessel und ein oeffentliches
>> >>> Zertifikat, das einem Server, an dem man sich damit in Zukunft
>> >>> anmelden will bekannt macht.
>> >>
>> >> Und damit das Ganze auch praktisch verwendbar wird gibt es idR.
>> >> eine Möglichkeit, den privaten Schlüssel zu exportieren. Du willst
>> >> deinen neuen Key nicht bei 100 Gegenstellen neu registrieren.
>> >
>> > Hm, habe dieses Szenario bisher noch nicht gehabt, daher habe ich
>> > da nicht danach gesucht, aber das Schluesselpaar fuer
>> > FIDO2/Webauthn (zumindest bei YubiKey) ist meines Wissens "fest"
>> > drin und du kommst da auch nicht dran, vergleichbar einer HSM, bei
>> > dem es ja gerade zum Grundkonzept gehoert, dass man nicht an ihn
>> > herankommt.
>>
>> Das ist, soweit ich weiß, genau das Prinzip bei FIDO2.
>
> Nein. FIDO2 ist Webauthn+CTAP. Dahinter /kann/ irgendeine Form von
> Hardwaretoken (YUBI-Key o.ä.) oder sicherer Speicher ("TPM") stehen,
> muss aber nicht. Unter
> https://de.wikipedia.org/wiki/FIDO2#Zertifizierungen findest Du
> Details.
Sowas wie "Der FIDO-Standard wurde 2013[2] von der FIDO-Allianz und dem
W3C ins Leben gerufen. Es ist eine sogenannte starke Authentisierung
weil der Schlüssel an eine Hardware gebunden ist, das ist ein
Sicherheitschip im PC, Smartphone oder Security-Token."?
>> Und der Grund für Passkey, wo diese Hardwarebindung aufgehoben ist.
>
> Nein - Passkeys bedeutet, dass Du für "jede" URI einen separaten
> Schlüssel vereinbarst - im Prinzip nach dem gleichen Verfahren wie bei
> FIDO2. Neu ist, dass "automagisch" unterschiedliche Pubkeys(bzw.
> entsprechend signierte Datenfitzel) für unterschiedliche Dienste
> verwendet werden.
>
> Darüber, wie Dein privater Key gespeichert bzw. verteilt wird trifft
> der Standard keine Aussagen.
Aber darüber, wie er nicht mehr gespeichert werden muss:
"Die Schlüssel sind nicht mehr an ein einzelnes Gerät gebunden; optional
werden sie verschlüsselt über die Cloud synchronisiert. Apple, Google
und Microsoft bewerben das Verfahren.[9]"
Back to ger.ct | Previous | Next — Previous in thread | Next in thread | Find similar | Unroll thread
Fido2, Passphrase: Fragen zum Verständnis t.r.h@gmx.net (Torsten Rüdiger Hansen) - 2023-11-16 16:13 +0100
Re: Fido2, Passphrase: Fragen zum Verständnis Lothar Kimmeringer <news201705@kimmeringer.de> - 2023-11-16 21:18 +0100
Re: Fido2, Passphrase: Fragen zum Verständnis Dietz Proepper <dietz.usenet@rotfl.franken.de> - 2023-11-17 08:24 +0100
Re: Fido2, Passphrase: Fragen zum Verständnis Lothar Kimmeringer <news201705@kimmeringer.de> - 2023-11-17 09:19 +0100
Re: Fido2, Passphrase: Fragen zum Verständnis Dietz Proepper <dietz.usenet@rotfl.franken.de> - 2023-11-17 09:44 +0100
Re: Fido2, Passphrase: Fragen zum Verständnis Michael Bode <m.g.bode@web.de> - 2023-11-17 20:41 +0100
Re: Fido2, Passphrase: Fragen zum Verständnis Dietz Proepper <dietz.usenet@rotfl.franken.de> - 2023-11-18 10:12 +0100
Re: Fido2, Passphrase: Fragen zum Verständnis Michael Bode <m.g.bode@web.de> - 2023-11-18 12:18 +0100
Re: Fido2, Passphrase: Fragen zum Verständnis Dietz Proepper <dietz.usenet@rotfl.franken.de> - 2023-11-18 12:41 +0100
csiph-web