Какая спецификация ключа безопасности необходима для совместимости с WebAuthN?

483
Rich

Можно ли уже купить ключ аутентификации в стиле USB, совместимый с WebAuthN?

Если да, какой технический стандарт / спецификацию он должен поддерживать?

Согласно пресс-релизам, таким как это, это уже возможно, но я хотел бы знать, пытается ли это Юбико быть первым на рынке и выпускает что-то, что может быть несовместимо, или же это ключ, такой как тот, на который ссылаются в прессе релиз совместим, потому что он реализует стандарт FIDO2.

0
Этот вопрос не имеет ничего общего с Юбики. Ramhound 6 лет назад 0
[WebAuthN] (https://www.wired.com/story/webauthn-in-browsers/) официально не было реализовано ни в одном браузере в настоящее время. Ramhound 6 лет назад 0
Я добавил еще немного информации - надеюсь, это прояснит мой вопрос. Rich 6 лет назад 0
FIDO2! = WebAuthN Ramhound 6 лет назад 1

2 ответа на вопрос

3
grawity

Насколько я понимаю, основываясь на сообщении в блоге Адама Лэнгли, существует два разных уровня:

  1. Протокол (API), используемый веб-сайтами для доступа к токену через браузер. В настоящее время веб-сайты используют «API JavaScript FIDO U2F», и именно этот API заменяет WebAuthn.

  2. Протокол, используемый браузерами (и другим локальным программным обеспечением) для связи с самим токеном. В настоящее время ключи FIDO U2F используют протокол CTAPv1 («Протокол клиент-аутентификатор»), но новые устройства будут использовать CTAPv2. Когда Юбико говорит о «FIDO2», они имеют в виду этот протокол.

Хотя обновления связаны друг с другом (CTAPv2 добавляет новые функции, которые будет использовать WebAuthn), уровни по-прежнему в основном независимы, а протоколы в основном обратно совместимы. То есть:

  • По сравнению с CTAPv1 основное обновление в CTAPv2 состоит в том, что устройства будут иметь больше места для хранения, чтобы их можно было использовать в качестве основного фактора аутентификации (и, возможно, других функций).

    Тем не менее, существующие части U2F, похоже, остаются такими же, как в CTAPv1 (более или менее токен просто должен делать цифровые подписи).

  • По сравнению с FIDO U2F API наиболее важным изменением в WebAuthn является то, как он генерирует идентификаторы («AppID») для «проверяющей стороны», то есть веб-сайта.

    Однако токены не заботятся о внутренней структуре идентификатора (он должен соответствовать), и в WebAuthn даже есть положения, разрешающие использование существующих регистраций FIDO U2F. (Новые регистрации, сделанные через WebAuthn , не будут работать с FIDO U2F.)

Поэтому, если вам нужен только 2-й фактор (U2F), кажется, что все существующие модели токенов будут по-прежнему работать с WebAuthn.

1
Luke Walker

FIDO2 - это открытый стандарт аутентификации, который состоит из спецификации веб-аутентификации W3C (WebAuthn) и протокола клиент-аутентификации (CTAP). CTAP - это протокол прикладного уровня, используемый для связи между клиентом (браузером) или платформой (операционной системой) с внешним аутентификатором ( ключ безопасности от Yubico ). WebAuthn - это API, позволяющий клиенту или платформе создавать и использовать учетные данные на основе открытого ключа с проверяющей стороной. Yubico является основным участником протокола CTAP, а спецификация размещена в FIDO Alliance.

Похожие вопросы