Hlavní navigace

Názor k článku Yubikey Neo po dvou letech od Jenda - Ještě než se tu objeví názor někoho, kdo...

  • Článek je starý, nové názory již nelze přidávat.
  • 19. 11. 2015 20:22

    Jenda (neregistrovaný) ---.net.upcbroadband.cz

    Ještě než se tu objeví názor někoho, kdo se nad tím nezamyslel, a napíše „to jako budeš každý den povolovat svoji klávesnici“ a „jak povolím klávesnici, když nemám klávesnici“.

    Ad. 1) Samozřejmě že ne. Svoji klávesnici připojuji doma, případně v práci. To je pro notebook poměrně dobře definované, protože se právě probudil, visí to na hubu (přičemž útočník by musel naemulovat hub, myš i klávesnici včetně správných USB ID a pořadí portů) a vidí kolem sebe třeba určité WPA wifi sítě nebo je v ethernetu, kde se může zeptat nějakého vnitřního SSH serveru.

    Další možností je koncept, na který přistoupil QubesOS. Počítače mají hodně USB portů a některé prohlásíme za důvěryhodné a některé ne.

    Ad. 2) Já mám PS/2, ale řekněme, že nemáte. Mohlo by to třeba akceptovat první klávesnici připojenou při bootu. A abychom se nedostali do deadlocku při výměně klávesnice, bylo by též možné "Pro autorizaci napište na klávesnici nc1y". Pokud by to byla interaktivní klávesnice, mohu ty čtyři klávesy zmáčknout a tím se to potvrdí.

    Další možnost je mít desktop s přepínáním různých úrovní zabezpečení, což je stejně rozumné, abyste neměli třeba v ssh-agentovi trvale odemčený SSH klíč od důležitých serverů, i když zrovna jenom kecáte na Rootu. Některá úroveň by pak počítala s připojováním USB zařízení, některá ne.

    A jinak na Linuxu se to dá částečně implementovat pomocí options usbcore authorized_de­fault=0 a /sys/zařízení/au­thorized.