@scriptkitty: do telefonu byłoby to upierdliwe bo robisz to za często. Miałem w pracy w pewnym momencie komputer ustawiony tak że yubikey musiał być obecny przy wpisaniu hasła i było ok.
@scriptkitty: w komputerze masz już element kryptograficzny w którym możesz przechować klucz do dysku. Jest to TPM. Znaczniej bardziej praktyczne rozwiązanie bo nie zgubisz i jest zawsze na miejscu gdy potrzebujesz odblokować komputer. Upewnij się tylko ze używasz TPM wbudowanego w SOC (bezpieczeństwo). Yubi stosuje do przechowywania kluczy SSH i GPG czyli tam gdzie potrzebuje migrować między maszynami.
@scriptkitty: TPM + PIN to two factor (prawie). W teori i tak nosisz Yubi caly czas ze sobą, wiec jak co ktoś ukradnie plecak z laptopem to jest duza szansa ze będzie w nim yubi (czyli tak ja TPM). W praktyce jasne, yubi to drugie urządzenie.
@Rosly: Dlatego kupię sobie dwa urządzenia. Wiem, że to kosztowne i dosyć upierdliwe ale z uwagi na ważność moich danych trochę wypadałoby wejść w tryb paranoi ;)
@scriptkitty: my cały czas rozmawiamy o szyfrowaniu dysku tak? Możesz sobie klucz prywatny zbackupowac na pendrive dla bezpieczeństwa i schować go dobrze w domu. Ja raczej pisałem o praktyce i wygodzie. Wiem ile razy się zastanawiałem czy to na pewno am sens aby za każdym razem jak chce włączyć komputer szukać yubi (skoro jest TPM).
@scriptkitty: pogubiłem się. W pierwotnym pytaniu pytales wyłącznie o "odblokowanie telefonu/komputera". Jak opisałem w mojej ocenie to jest średnio praktyczne. Jest równie bezpieczna metoda bazująca na TPM.
W pozostałych przypadkach (U2F, PIV, GPG) oczywiście ze yubi ma sens bo musisz migrować miedzy maszynami.
@scriptkitty: prawie... Właśnie TPM gwarantuje ci jeszcze SecureBoot i TrustedBoot czyli masz pewność ze ktoś (np na lotnisku) nie podmienił ci bootloadera lub UEFI i nie zainstalował tam rootkita. TPM gwarantuje integralność procesu bootowania od momentu włączenia zasilania. Z yubi tego nie zrobisz. TPM to rozwiazanie krojone na miarę. PIV czy GPG to protokoły generyczne. Zasada przechowywania i izolacji materiału krypto jest natomiast praktycznie ta sama.
@scriptkitty: a co siedzi w Yubi? ;) Oczywiście ze najlepiej by było gdyby FW był otwarty. Problem jest z podpisami cyfrowymi FW tj nawet otwartozrodlowy FW producent musi skompilować i podpisać. Nie ma więc gwarancji ze binarka jest faktycznie tym samym kodem co źródło.
Bezpieczeństwo kluczy jeet gwarantowane przez konstrukcje HW. SW jeet tylko uzupełnieniem i w mojej ocenie powinien być dostępny do audytu.
Pozwoliłeś głupiutki narodzie rządzić PiS-owi bo się obraziłeś na Tuska, ośmiorniczki, zegarek Nowaka i OFE więc teraz zbierasz tego plony jakimi jest rozpie*dol prawny czy wizytacja przestępców u głowy Państwa śmiejących się do wspólnych zdjęć.
Używa ktoś z was yubikey? Na ile byłoby to praktyczne odblokowywania telefonu / komputera? Zakładam wrzucenie na kółko do kluczy i model nfc / usb-c.
Yubi stosuje do przechowywania kluczy SSH i GPG czyli tam gdzie potrzebuje migrować między maszynami.
Ja raczej pisałem o praktyce i wygodzie. Wiem ile razy się zastanawiałem czy to na pewno am sens aby za każdym razem jak chce włączyć komputer szukać yubi (skoro jest TPM).
Chodzi mi o odblokowywanie komputera / telefonu, logowanie się do usług webowych i password managera.
A yubikey bym nosił zawsze przy sobie ze sobą z resztą kluczy.
W pozostałych przypadkach (U2F, PIV, GPG) oczywiście ze yubi ma sens bo musisz migrować miedzy maszynami.
Z yubi tego nie zrobisz. TPM to rozwiazanie krojone na miarę. PIV czy GPG to protokoły generyczne. Zasada przechowywania i izolacji materiału krypto jest natomiast praktycznie ta sama.
A to się zareklamuje, już
Oczywiście ze najlepiej by było gdyby FW był otwarty. Problem jest z podpisami cyfrowymi FW tj nawet otwartozrodlowy FW producent musi skompilować i podpisać. Nie ma więc gwarancji ze binarka jest faktycznie tym samym kodem co źródło.
Bezpieczeństwo kluczy jeet gwarantowane przez konstrukcje HW. SW jeet tylko uzupełnieniem i w mojej ocenie powinien być dostępny do audytu.
Kazdy TPM jak i Yubi zawiera jakiś