U2F

U2F-klar logo for FIDO-alliancen

U2F ( U niform S econd F actor, universal second factor ) er en industristandard for en generelt anvendelig tofaktorautentificering baseret på en tilpasset udfordringsrespons-autentificering . Ud over en adgangskode, fungerer den som bevis på adgangsgodkendelse, for eksempel for webbaserede tjenester, og kan også bruges i kombination med digitale personlige dokumenter til at etablere identitet .

U2F-specifikationerne blev udviklet af Google med deltagelse af Yubico og NXP Semiconductors . Den ikke-kommercielle FIDO-alliance blev grundlagt til videreudvikling og samarbejde mellem U2F-udbydere . Den 9. december 2014 blev den første tilsvarende standard FIDO v1.0 offentliggjort.

I modsætning til brancheinitiativet " Open Authentication " (OATH), som også forsøger at etablere løsninger til tofaktorautentificering som en industristandard, er U2F-procesbeskrivelser ikke underlagt fortrolighedsregler fra de involverede virksomheder.

egenskaber

U2F sikkerhedstoken YubiKey med USB- interface fra Yubico

Som en væsentlig egenskab har U2F-standarden ikke en eksternt entydig identifikator for en bestemt U2F-enhed og gør det således muligt at beskytte privatlivets fred. En tjenesteudbyder (server), som en kunde er registreret med sin U2F-enhed med henblik på identifikation, kan derfor ikke bestemme, hvilke andre tjenester denne U2F-enhed stadig er registreret hos. Dette gælder, selvom en bestemt tjenesteudbyder også har adgang til loginoplysningerne for den anden tjenesteudbyder eller er gjort opmærksom på disse loginoplysninger.

Denne egenskab ved U2F-metoden yder et væsentligt bidrag til yderligere beskyttelse, hvis de logindata, der er gemt hos tjenesteudbyderen ved tilmelding, læses op af tredjeparter som en del af datalækager og derefter kan spredes på en ukontrolleret måde.

Denne beskyttelse gives også, hvis en U2F-enhed bruges af forskellige personer hos en udbyder eller af en person til at logge på flere konti. I disse tilfælde kan det på baggrund af U2F-logindataene, der er gemt på serveren, ikke bestemmes af den respektive tjenesteudbyder, at det er den samme U2F-enhed, og at de samme eller forskellige brugere bruger denne U2F-enhed.

Dette er muliggjort af det faktum, at et nøglepar (afhængigt af tjenesteudbyderens karakteristika såsom serveradresse, TLS-certifikat og andre data såsom tilfældigt genererede session-identifikatorer (tokens)) genereres individuelt i U2F-enheden fra en privat og offentlig nøgle. Den private og offentlige nøgle beregnes ved hjælp af et asymmetrisk kryptosystem . Til registrering af den således genererede offentlige nøgle sammen med et indhold fra en hvilken som helst brugerdefineret U2F-enhed, såkaldt nøgleidentifikator (er inden for U2F-metoden engelsk nøglehåndtag ) transmitteret til tjenesteudbyderen.

Når du logger på en tjenesteudbyder for første gang, gemmes dette datapar bestående af den offentlige nøgle og nøgle-id på serveren. I tilfælde af en efterfølgende godkendelse transmitterer serveren nøgleidentifikatoren, der tilhører brugeren sammen med yderligere data, såsom serveradressen, en unik sessionsidentifikator og andre data. U2F-enheden kan bestemme den tilknyttede private nøgle ud fra den transmitterede nøgle-id og dermed passende signere dataene for returresponset til serveren. Det underskrevne retursvar bruges af serveren sammen med den tildelte offentlige nøgle til at godkende kunden. Denne metode giver en vis beskyttelse mod mand-i-midten-angreb .

Manglen på entydig offentlig identifikation af en U2F-enhed er i modsætning til den klassiske udfordringsrespons-godkendelse med asymmetriske nøgler, såsom godkendelse med Secure Shell (SSH) for kommandolinjeadgang . Med SSH-godkendelse deponeres den offentlige nøgle på alle servere, nøjagtigt hvor offentlig adgang er tilladt. Selv uden at kende den hemmelige private nøgle er det således muligt at bestemme på hvilken server der er adgang med denne SSH-nøgle, hvis der kun er adgang til de offentlige nøgledata.

procedure

Godkendelsesflow

Diagrammet til højre viser godkendelsesprocessen ved U2F; den oprindelige registrering hos tjenesteudbyderen antages allerede at have fundet sted.

Til godkendelse spørger tjenesteudbyderen brugernavnet som den første faktor, og om nødvendigt den almindelige adgangskode, kontrollerer disse data og - hvis OK - introducerer den anden faktor i form af U2F:
I det første trin sender tjenesteudbyderen en datapakke til kundens computer (webbrowser). Dette består af en udfordring , disse er nogle tilfældigt valgte cifre. Derudover er en applikations-id, der kaldes app-id i diagrammet , og nøgle-id- nøglehåndtaget , der blev gemt under det første login.
Kundecomputeren kontrollerer applikations- id'et , supplerer det med yderligere data såsom et kanal-id og videresender disse data til U2F-enheden.
Med hjælp fra den centrale håndtag, den U2F anordning bestemmer private nøgle k _priv der er egnet til denne session , og bruger den til at underskrive ansøgningen id og udfordringen c , således danner den underskrevne respons s .
Derudover kan en tæller (kan valgfri tæller ) integreres med det underskrevne svar for at kunne detektere duplikat U2F-enheder.
Kunden computer, såsom webbrowseren, fremad disse data til tjenesteyderen, der bruger nøglen offentlig samling for at kontrollere signaturen s og de data, den indeholder, og - hvis OK - giver adgang.

særlige forhold

U2F sikkerhedstoken fra Plug-up International

For at U2F-enheden skal give et svar, er det obligatorisk i standarden, at en brugerhandling er nødvendig direkte på U2F-enheden. I det enkleste tilfælde er alt, hvad du skal gøre, at trykke på en knap på U2F-enheden. Men andre indvielser er også mulige: For eksempel har den EyeLock selskab kunnet tilbyde de iris scanner myris med USB-forbindelse, som er kompatibel med den U2F protokol, siden januar 2015 . Denne specifikation er beregnet til at sikre, at brugeren accepterer en godkendelsesanmodning uanset pc'en og dens software - hvis brugeren ikke er enig, er der ikke noget svar fra U2F-enheden, efter at tiden er gået. Dette krav er beregnet til at forhindre software på computeren i at anmode om et stort antal svar fra U2F-enheden og efterfølgende evaluere dem uden brugerens viden.

U2F-enheden kan designes som et sikkerhedstoken i hardware med tilsvarende sikker opbevaring, men behøver ikke være det. I princippet er en ren softwarebaseret U2F-applikation også mulig, men med det grundlæggende problem, at hemmelige data såsom den unikke og internt anvendte U2F-primære identifikator lettere kan læses og kompromitteres.

For at minimere omkostningerne til hardware-baserede U2F-enheder, såsom USB-dongle, er metoden designet på en sådan måde, at der ikke skal lagres data, der kan ændres, såsom de genererede session-baserede private nøgler i U2F-enheden. Metoden giver åbent, hvordan og hvor de hemmelige private nøgledata lagres for en tjenesteudbyder.

På den ene side kan lagringen finde sted i en hukommelse på U2F-enheden, hvilket gør U2F-enheden dyrere og begrænser antallet af registreringer på grund af hukommelsesstørrelsen. Det er dog også muligt at kryptere de sessionsbaserede private nøgler, der genereres ved hjælp af en enhedsspecifik metode, og at gemme dem på serveren som en del af nøgle-id'en ( nøglehåndtag ). Dette skyldes, at dette nøglehåndtag transmitteres fra serveren til U2F-enheden med hvert efterfølgende login , hvilket betyder, at denne U2F-enhed kan gendanne sin private nøgle. U2F-enheden kan bruges til et hvilket som helst antal tjenester, da der ikke er nogen forbindelsesafhængige nøgledata gemt på U2F-enheden, og der ikke er nogen lagerpladsbegrænsninger.

For at kunne skelne mellem forskellige typer U2F-enheder og deres forskellige niveauer af pålidelighed hos tjenesteudbydere (f.eks. Har hardware-baserede U2F-enheder et højere sikkerhedsniveau mod læsning end pc-baserede softwareløsninger), svaret er også underskrevet med en producentspecifik et inden for rammerne af U2F privat nøgle. Den private nøgle er permanent gemt i U2F-enheden og er identisk for alle U2F-enheder fra denne producent, hvilket forhindrer, at en bestemt U2F-enhed identificeres. Den tilsvarende offentlige nøgle er velkendt og kan bruges af tjenesteudbydere til at kræve brug af visse U2F-enheder for adgang.

Software support

Google Chrome blev den første webbrowser, der understøtter U2F i oktober 2014. Siden version 57 (januar 2018) er U2F også integreret i Mozilla Firefox . Apple Safari har understøttet U2F siden version 13 (september 2019). Funktionaliteten kan kontrolleres på Yubicos U2F-testside.

Forskellige internettjenester understøtter registrering via U2F, primært fra Google-miljøet såsom Gmail , Dropbox , GitHub . For at logge på en computer, der kører Linux og macOS, er der et Pluggable Authentication Module .

Den Windows 10 operativsystem -system fra Microsoft understøtter U2F funktioner ikke kun for sine egne tjenester, men også inden for systemet, når du logger ind flere tusinde tredjeparts tjenester.

Weblinks

FIDO Alliance-oversigt (engelsk)
U2F , Yubico (engelsk)
Forklaringer til begyndere til FIDO1 / U2F og FIDO2 , FIDO Alliance (engelsk)

Individuelle beviser

↑ FIDO 1.0 Specifikationer offentliggøres og afsluttes med forberedelse til bred indførelse af stærk godkendelse i 2015. FIDO Alliance, 9. december 2014, adgang til 11. april 2018 .
↑ ^a^b U2F Specifikationer. Hentet 28. november 2016 .
↑ Oversigt over Universal 2nd Factor (U2F) , FIDO Alliance, 11. april 2017, PDF-fil, adgang til 24. april 2019
↑ EyeLocks myris er den første og eneste Iris Authenticator til den nye FIDO Open Industry Standard , EyeLock, adgang til 5. januar 2015
^ Google lancerer sikkerhedsnøgle, verdens første implementering af hurtig identitets online universel anden faktor (FIDO U2F) -godkendelse. Hentet 16. april 2020 . , fidoalliance.org, 21. oktober 2014
↑ Sikkerhed / CryptoEngineering. Hentet 15. november 2017 .
↑ Safari 13 release notes. Hentet 17. februar 2020 .
↑ Test din U2F-enhed. Hentet 15. november 2017 .
↑ pam-u2f. I: developers.yubico.com. Hentet 25. maj 2016 .
↑ yubico-pam. I: developers.yubico.com. Hentet 25. maj 2016 .
↑ Windows 10 til virksomheder: Maksimal sikkerhed for alle enheder og scenarier - Innovativ sikkerhed: tofaktorautentificering , technet.microsoft.com fra 19. marts 2015, adgang til 30. november 2016.

[1] FIDO 1.0 Specifikationer offentliggøres og afsluttes med forberedelse til bred indførelse af stærk godkendelse i 2015. FIDO Alliance, 9. december 2014, adgang til 11. april 2018 .

[u2F-2] U2F Specifikationer. Hentet 28. november 2016 .

[overview-3] Oversigt over Universal 2nd Factor (U2F) , FIDO Alliance, 11. april 2017, PDF-fil, adgang til 24. april 2019

[4] EyeLocks myris er den første og eneste Iris Authenticator til den nye FIDO Open Industry Standard , EyeLock, adgang til 5. januar 2015

[5] Google lancerer sikkerhedsnøgle, verdens første implementering af hurtig identitets online universel anden faktor (FIDO U2F) -godkendelse. Hentet 16. april 2020 . , fidoalliance.org, 21. oktober 2014

[6] Sikkerhed / CryptoEngineering. Hentet 15. november 2017 .

[7] Safari 13 release notes. Hentet 17. februar 2020 .

[8] Test din U2F-enhed. Hentet 15. november 2017 .

[9] pam-u2f. I: developers.yubico.com. Hentet 25. maj 2016 .

[10] yubico-pam. I: developers.yubico.com. Hentet 25. maj 2016 .

[11] Windows 10 til virksomheder: Maksimal sikkerhed for alle enheder og scenarier - Innovativ sikkerhed: tofaktorautentificering , technet.microsoft.com fra 19. marts 2015, adgang til 30. november 2016.

Languages

U2F