Qual especificação de chave de segurança é necessária para a compatibilidade com o WebAuthN?

0

Já é possível comprar uma chave de autenticação no estilo USB-pendrive que seja compatível com o WebAuthN?

Se sim, qual padrão técnico / especificação ele deve suportar?

De acordo com comunicados à imprensa, como isso , já é possível, mas eu gostaria gostaria de saber se este é o Yubico tentando ser o primeiro a comercializar e liberar algo que pode não ser compatível, ou se uma chave como a mencionada no press release é compatível porque implementa o padrão FIDO2.

    
por Rich 25.04.2018 / 14:17

2 respostas

3

Tanto quanto eu posso entender, com base na postagem do blog de Adam Langley , há dois camadas distintas:

  1. O protocolo (API) usado pelos sites para acessar um token pelo navegador. Atualmente, os websites usam os "API JavaScript FIDO U2F" , e é esta API que o WebAuthn substitui.

  2. O protocolo usado pelos navegadores (e outro software local) para falar com o token em si. Atualmente, as chaves FIDO U2F usam o protocolo CTAPv1 ("Client To Authenticator Protocol"), mas os novos dispositivos usarão o CTAPv2. Quando Yubico fala sobre "FIDO2", eles querem dizer esse protocolo.

Embora as atualizações estejam relacionadas umas às outras (o CTAPv2 adiciona novos recursos que o WebAuthn usará), as camadas ainda são, na maior parte, independentes e os protocolos, principalmente compatíveis com versões anteriores. Isso é:

  • Em comparação com o CTAPv1, a atualização principal no CTAPv2 é que os dispositivos terão mais armazenamento para torná-los utilizáveis como fator de autenticação main (e possivelmente outros recursos).

    No entanto, as partes existentes do U2F parecem permanecer as mesmas que no CTAPv1 (mais ou menos, o token precisa apenas de assinaturas digitais).

  • Em comparação com a API FIDO U2F, a mudança mais importante no WebAuthn está em como ele gera identificadores ("AppID") para a "terceira parte confiável", ou seja, o website.

    No entanto, os tokens não se importam com a estrutura interna do identificador (ele só precisa coincidir), e o WebAuthn ainda tem provisões para permitir o uso dos registros existentes do FIDO U2F. (Novos registros feitos via WebAuthn não funcionarão com o FIDO U2F.)

Portanto, se tudo que você precisa é o segundo fator (U2F), parece que todos os modelos de token existentes ainda funcionarão com o WebAuthn.

    
por 25.04.2018 / 17:58
1

O FIDO2 é um padrão de autenticação aberto que consiste na especificação de Autenticação da Web do W3C (WebAuthn), e o Cliente para Protocolo de Autenticação (CTAP). O CTAP é um protocolo de camada de aplicativo usado para comunicação entre um cliente (navegador) ou uma plataforma (sistema operacional) com um autenticador externo ( Chave de segurança por Yubico ). O WebAuthn é uma API que permite que um cliente ou uma plataforma crie e use credenciais baseadas em chave pública com uma Parte Confiante. Yubico é um colaborador central do protocolo CTAP, e o especificação é hospedada pela Aliança FIDO.

    
por 25.04.2018 / 17:53