Hlavní navigace

YubiKey Bio se čtečkou otisků prstů je k dispozici za 80 a 85 eur

7. 10. 2021

Sdílet

YubiKey Bio Autor: YubiCo

Společnost YubiCo začala prodávat očekávaný USB token YubiKey Bio, který disponuje čtečkou otisků prstů. Ta dovoluje celý autentizační proces potvrdit pomocí druhého faktoru, kterým je právě uživatelův otisk. Všechny ostatní tokeny stejného výrobce používají pro fyzické potvrzení akce pouze kapacitní spínač.

YubiKey Bio je k dispozici ve dvou variantách: pro USB-A a USB-C. Jejich cena je 80 a 85 eur, bez daně. Konečnou cenu tak pro českého uživatele přesáhne 2000 Kč. Token na rozdíl od svých sourozenců nepodporuje použití s mobilním telefonem pomocí NFC.

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 7. 10. 2021 9:07

    kamui

    Jak ta věc přesně funguje? Pouze pomocí spínače a otisku vydá své tajemství? To mi nepřijde úplně bezpečné - otisk prstu vám může být sejmut násilím, zatímco heslo z vás nikdo žádným detektorem mysli nedostane.

  • 7. 10. 2021 9:11

    srigi

    Kazdy YK umoznuje nastavit PIN.
    PIN narozdiel od hesla necestuje po sieti, co je jedna z mnohych vyhod HW autentifikatorov.

  • 7. 10. 2021 9:11

    Petr Krčmář

    YubiKey nikdy tajemství nevydá, umí jen předávat produkty jeho využití – obvykle elektronické podpisy. Klasické verze vyžadují po uživateli fyzickou akci v podobě použití tlačítka, tím se vyloučí možnost, že by nějaký zákeřný software lákal podpisy na pozadí. Je možné ještě token volitelně chránit pinem, který se pak při komunikaci po USB musí přenést, aby se akce potvrdila.

    Nová verze Bio k tomu navíc přidává čtečku otisků prstů, takže při ztrátě tokenu se není třeba obávat, že jej někdo zneužije a přihlásí se s ním. To je užitečné zejména u služeb, které nevyžadují přihlašování pomocí hesla, ale používají jen token.

  • 7. 10. 2021 9:28

    mlaskac

    Yubikej hesle/pinem chrani pouze konfiguraci. Je to 2F token tj zadny pin nema, uz jen proto ze emuluje klasickou HID klavesnici a nepotrebuje ovladac ani zadny jiny podpurny sw (pro cinnost, nikoliv pro konfiguraci).

    Ochranu pinem, ale ji jakykoliv druhy faktor tak nerealizuje yubikey ale primo PAM/login modul ktery ho vyuziva.

    Naopak bio pouziva pin jako ochranu jen jako nemoznost pouzit PIN, pin o kterem se tedy v souvislosti s BIO mluvi neni PIN pro 2F.

  • 7. 10. 2021 9:42

    Ondřej Nový

    Yubi normalne podporuje FIDO2, ta emulace HID je obsolete a nikdo rozumny uz to nepouziva. Ja ji mam treba uplne vypnutou. A PIN samozrejme jde nastavit pro ochranu tajemstvi, nikoliv pouze konfigurace. Zalezi ale na verzi Yubi klice, starsi to neumi.

  • 7. 10. 2021 10:17

    SB

    „Klasické verze vyžadují po uživateli fyzickou akci v podobě použití tlačítka, tím se vyloučí možnost, že by nějaký zákeřný software lákal podpisy na pozadí.“

    Tohle mi dlouhodobě uniká - má-li operační systém zaručit, že si kdekterá aplikace neřízeně nepodepisuje kdeco, pak musí Yubikeyem výhradně disponovat a uživatele při podepisování informovat, která aplikace právě požaduje podpis (a i tak musí ta aplikace být důvěryhodná). Pak ale nepotřebuju na zařízení tlačítko. Naopak samotné tlačítko (ani otisk prstu) nezaručí, co podepisuju, to by bylo zřejmé pouze tehdy, když by např. otisk dokumentu byl zobrazen na displayi Yubikeye jako celistvého, hodnověrného zařízení.

    Tak jak je to tedy?

  • 7. 10. 2021 10:36

    ...

    tlačíko/otisk (tj. fyzická interakce) je tam právě z důvodu, aby si jakýkoliv proces nemohl na počítači cokoliv podepsat či si kdykoliv něco vygenerovat.

    Nezaručuje to MitM, kdy při potvrzovací akci v jedné aplikaci si tu událost nepřevezme jiná aplikace a neudělá to místo ní. To ale nelze zajsitit bez toho, aby si toho uživatel všimnul a stejně tak pro každou takovou akci jí musím potvrdit fyzicky. Vektor zneužití je tedy relativně úzký. To je právě cílem bezpečnostních opatření, zúžit vektor útoku.

  • 7. 10. 2021 11:45

    SB

    Takže ta bezpečnost spočívá v tom, že počet požadavků aplikací na podpis se musí rovnat počtu stisku tlačítka. Což ale neřeší otázku, co s již existujícím podvodně podepsaným dokumentem, když přijdu na to, že k tomu došlo.

    Co ta druhá půlka otázky - jak poznám, který dokument byl skutečně poslán do Yubikey na podepsání?

  • 7. 10. 2021 11:55

    ...

    Pokud používáš yubikey na podepisování dokument, přece výsledkem je kromě jiného hash vstupního souboru, třeba takhle?

    To se takhle nešikovně ptáš schválně nebo problematice moc nerozumíš a potřebuješ se v tom zorientovat?

  • 7. 10. 2021 14:38

    SB

    1. Jde o to, aby Yubikey nepodepsal něco, co nechci, tzn. zajištění odpovídajícího dokumentu PŘED podpisem.
    2. Jde o ověření PO, zda byl podepsán požadovaný dokument.
    Oboje závisí na tom, na které úrovni (aplikace, nebo OS, nebo Yubikey) jsem schopen ověřit vstupní či výstupní dokument. To např. znamená, že nemůžu-li přímo v Yubikeyi ověřit podepisovaný dokument, není možno jej použít k podepisování na nedůvěryhodných zařízeních.

    Nikde jsem nečetl vysvětlení těchto mechanismů, proto se ptám. Ale jestli se na to necítíte, neodpovídejte. Také mi netykejte, taky vám to nedělám.

  • 7. 10. 2021 15:09

    bez_přezdívky

    Odpovím na tykání... Upřímně řečeno, nemám rád uživatele, kteří při diskuzi vytáhnou argument mimo mísu - je to argumentační faul, rána pod pás, diskuze se to nijak netýká, neposunuje ji vpřed a má za cíl pouze získat převahu nad protistranou. Je to hnusné.

    „Také mi netykejte...“:
    V diskuzích zde na root.cz je zvykem si navzájem tykat, tak není možné očekávat/před­pokládat vůči sobě jiné chovaní. A ještě ho vyžadovat? A takovým způsobem? Pokud bys byl někdo obecně známý, kdo svým sociálním postavením může předpokládat vykání od ostatních, pak prosím... Nebo pokud bychom byli jinde, kde se předpokládá vykání...

    „...taky vám to nedělám“:
    Tak nějak jsem si přečetl Tvoje příspěvky v dnešní diskuzi a nějak jsem to z nich nepoznal. Možná jsem si je jen blbě přečetl, ale přímé oslovení diskutujících jsem nenašel (až v tom, na který reaguji). Takže do hlavy Ti nevidím, věšteckou kouli mám v opravě atakdále, takže nevím, jak poznat, že Ti tykání vadí.

  • 7. 10. 2021 15:42

    Martin Dráb

    Pokud by Yubikey byl exkluzivním zařízením (tzn. povoloval maximálně jednu relaci v každém okamžiku), byla by většina vašich problémů vyřešena. Nevím, zda-li to tak je, ale určitě je možné projít vývojářskou dokumentaci.

  • 7. 10. 2021 16:42

    Filip Jirsák

    Pokud by Yubikey byl exkluzivním zařízením (tzn. povoloval maximálně jednu relaci v každém okamžiku), byla by většina vašich problémů vyřešena. Nevím, zda-li to tak je, ale určitě je možné projít vývojářskou dokumentaci.
    Jenže ona tam není žádná relace. Je tam jen: „Tady máš hash, podepiš ho klíčem 0 a výsledek mi vrať“. Doba vytvoření toho podpisu je v řádu stovek milisekund až jednotek sekund, po tu dobu ten token nepřijme jiné požadavky. Když se čeká na potvrzení od uživatele, protáhne se to o dobu, než uživatel zareaguje.

    Ale stejně nepoznáte, zda ten požadavek na podpis dala správná aplikace. Pokud útočník ovládá počítač, může sledovat práci uživatele a požadavek na podpis svého dokumentu odešle třeba chvilinku po té, co se kurzor myši zastaví na tlačítku podepsat. Nebo sníží uživatelově aplikaci prioritu a svůj požadavek odešle hned, jak uživatel klikne – a díky vyšší prioritě bude rychlejší.

  • 7. 10. 2021 17:42

    SB

    To nejspíš bude, jinak by tlačítko na Yubikeyi nedávalo moc smysl, ale to pořád neřeší problém, že celý počítačový systém až po konektor Yubikeye musí být důvěryhodný, protože sám Yubikey mi neumožňuje před stiskem tlačítka ověřit, co dostal k podpisu. V případě vhodného napadení systému pak není problémem nechat podepsat něco jiného.
    Spíš mi přijde divné, že mi to zatím nikdo nevyvrátil.

  • 7. 10. 2021 23:09

    Filip Jirsák

    SB: Vážně netuším, co na tom nechápete.

    Když nebude na YubiKey tlačítko a útočník napadne váš počítač, podepíše si klidně tisíc dokumentů. Když tam to tlačítko je a rozbliká se v okamžiku, když nic podepsat nechcete, bude to pro vás varování, že máte zřejmě napadený systém. Když budete chtít podepsat jeden dokument a tlačítko na YubiKey se rozbliká dvakrát, bude to pro vás varování, že máte zřejmě napadený systém a podepsal jste možná nějaký dokument, který jste podepsat nechtěl. Už chápete význam toho tlačítka?

    celý počítačový systém až po konektor Yubikeye musí být důvěryhodný, protože sám Yubikey mi neumožňuje před stiskem tlačítka ověřit, co dostal k podpisu
    Ano, tak to je. Vysvětloval jsem vám to už několikrát.

    sám Yubikey mi neumožňuje před stiskem tlačítka ověřit, co dostal k podpisu
    Ano, tak to je. Token totiž dostane k podpisu jenom hash. Teoreticky by vám nějaký token mohl hash, který má podepsat, nejprve zobrazit. Jenže k čemu by vám to bylo? Musel byste zase nejprve na nějakém důvěryhodném zařízení nechat ten hash dokumentu spočítat. A když už máte důvěryhodné zařízení, proč ho rovnou nepoužít i k tomu podpisu?

    V případě vhodného napadení systému pak není problémem nechat podepsat něco jiného.
    Ano. To už jsem vám psal několikrát.

    Spíš mi přijde divné, že mi to zatím nikdo nevyvrátil.
    Co vám nikdo nevyvrátil? Podepisování tokenem, čipovou kartou nebo YubiKey funguje tak, jak jsem popsal. Když vy z toho popisu vytrhnete dílčí tvrzení, co by vám na nich kdo vyvracel, když jsou pravdivá? Jediné vaše nepravdivé tvrzení je, že tlačítko na YubiKey nedává smysl. To není pravda, dává smysl, funguje jako alarm – upozorní vás, když se útočník pokusí vaším klíčem podepsat dokument. To je klíčová informace, která vám umožní bránit se a nenechat útočníka, aby podepisoval jeden dokument za druhým.

  • 8. 10. 2021 10:56

    bez_přezdívky

    Yubikey navíc obsahuje počítadlo podpisů, takže před každým podpisem mi to ukáže kolikátý podpis to je. Drobnost, ale celkem pěkně může pomoci odhalit ty nevyžádané podpisy...

  • 7. 10. 2021 16:36

    Filip Jirsák

    Jde o to, aby Yubikey nepodepsal něco, co nechci, tzn. zajištění odpovídajícího dokumentu PŘED podpisem.
    To jde udělat jedině tak, že budete mít specializované zařízení s displejem, které bude umět podpisovat třeba PDF a nic jiného. Ten dokument vám před podpisem zobrazí, vy ho zkontrolujete a teprve pak ho podepíšete.

    Jde o ověření PO, zda byl podepsán požadovaný dokument.
    To zkontrolujete jednoduše tak, že se podíváte na dokument, který jste chtěl podepsat, zda je skutečně podepsán. Pokud není a vy jste přesto něco podepsal, pak jste asi podepsal jiný dokument. Který ovšem nemusel na vašem počítači ani nikdy být – podepisuje se jenom hash, takže pokud bude útočník chtít, abyste mu podepsal jeho dokument, stačí mu, když na váš počítač dopraví hash.

    To např. znamená, že nemůžu-li přímo v Yubikeyi ověřit podepisovaný dokument, není možno jej použít k podepisování na nedůvěryhodných zařízeních.
    Ano, tohle platí. Yuikey (a jiné tokeny) slouží k tomu, abyste co nejdřív odhalil, že máte napadené zařízení – a tím se snaží potenciálního útočníka odradit od pokusů podstrčit vám k podpisu dokument. Ale pokud už útočník k vašemu zařízení přístup má, nedokáže Yubikey zabránit podepsání nechtěného dokumentu.

    Prostě u podpisu vždy platí, že musí být důvěryhodné spojení mezi dokumentem, který vidíte, a samotným podpisem. Když vám někdo dá k podpisu smlouvu na volných listech a nechá vás podepsat se na poslední stranu, také nemáte nijak zaručeno, že pak tu poslední stranu nepřidá k úplně jiné smlouvě. U elektronického podpisu to platí stejně.

    Nikde jsem nečetl vysvětlení těchto mechanismů, proto se ptám.
    Když token něco podepisuje, funguje to tak, že dostane hash k podpisu a identifikátor klíče uloženého na tokenu, který se má použít k podpisu. Token si nějakým způsobem vyžádá potvrzení od uživatele, že má podpis vytvořit. Bezpečné řešení je takové, kdy si to vyžádá přímo fyzicky token – tím, že musíte zmáčknout tlačítko nebo dokonce zadat PIN na klávesnici tokenu. Dá se použít i softwarové ověření (ovladač vyhodí nějaké okno), ale to už je podstatně méně bezpečné, protože hrozí, že s tím útočník dokáže manipulovat.

    To potvrzení je tam právě proto, aby útočník, který ovládne vaše zařízení, nemohl tiše na pozadí podepisovat jeden dokument za druhým. Protože z hlediska bezpečnosti není velký rozdíl mezi tím, kdy by vám útočník ukradl privátní klíč (kdybyste ho neměl uložený na tokenu, ale třeba v souboru), a kdy vám útočník sice klíč neukradne, ale je schopen jím podepsat prakticky libovolné množství dokumentů.

    Jak jsem psal, není to stoprocentní ochrana, útočník takhle dokáže jeden falešný podpis získat – ale tím se prozradí (pokud uživatel dává pozor). Celé zabezpečení pomocí tokenů tedy nestaví na tom, že by zabraňovalo vytvoření falešného podpisu, ale na tom, že se útočník při vytvoření falešného podpisu prozradí. Je to jako alarm na domě – nezabrání tomu, aby zloděj do domu vnikl, ale pokud se mu to podaří, alarm na něj upozorní. Což velké množství zlodějů odradí.

  • 7. 10. 2021 12:18

    Filip Jirsák

    Přijít byste na to měl hned. Pak hlavně musíte předpokládat, že zařízení, kde ten nechtěný podpis vznikl, je kompromitované. Pokud je na tokenu klasický certifikát, měl byste ho hned revokovat. Pokud to používáte jako FIDO2 token, měl byste ho odebrat jako přihlašovací metodu z aplikací, kde ho používáte. Samozřejmě záleží na tom, jak je ten token důležitý – když je to jen autentizace do běžných aplikací, asi je zbytečné ten klíč všude měnit, protože ke kompromitaci klíče nedošlo, kompromitován byl počítač. Pokud půjde o kvalifikovaný elektronický podpis, tam už revokace certifikátu smysl dává, i když s ním byl podepsán jenom jeden dokument – protože tou revokací můžete zařídit, aby podpis na dokumentu byl rovnou považován za neplatný. A i když se vám to nepodaří, alespoň tím zvýšíte šanci, že neplatnost podpisu prokážete později. Pokud byste ten podpis dál používal a pak chtěl prokazovat, že jeden podpis v minulosti je neplatný, budete to mít o hodně těžší.

    Se samotným podvodně podepsaným dokumentem v tu chvíli asi nic neuděláte, útočník jej asi nebude nechávat na vašem počítači. Pokud byla podvodně autorizována nějaká akce, bylo by dobré tu akci najít a stornovat ji, pokud to jde.

    Co ta druhá půlka otázky - jak poznám, který dokument byl skutečně poslán do Yubikey na podepsání?
    Nijak.

  • 7. 10. 2021 11:23

    Filip Jirsák

    Počítá se s tím, že ten podpis neděláte příliš často, takže byste měl být schopen vaši akci (dotek tokenu) přiřadit konkrétnímu podepisování (přihlášení na web). Nebo-li podvodná aplikace by si vyžádala podpis v okamžiku, kdy to nečekáte – to je podezřelé, mělo by vás to varovat a měl byste začít řešit, která aplikace a proč to po vás chtěla.

    V horším případě dokáže ta aplikace zjistit okamžik, kdy vznikne legitimní požadavek na použití toho tokenu, a rychle odpálí i svůj požadavek. Pro uživatele se to bude jevit tak, že přijdou dva požadavky hned za sebou. I to by mělo uživatele varovat a opět by měl pátrat po tom, co to způsobilo. Tohle je asi nejslabší místo, protože uživatel bude mít typicky pocit „no jo, něco se nepodařilo, zkusím to znova“.

    V tom případě, kdy přijdou dva požadavky rychle za sebou, se samozřejmě může stát, že uživatel nevědomky schválí ten požadavek útočníka. Nicméně to není tak velký problém. Za prvé by útočníka mělo odradit to, že bude prozrazen, takže se v ideálním případě o útok ani nepokusí. A i když se o to pokusí, měl by být odhalen (pokud se uživatel nenechá ukolébat tím „něco se pokazilo“, ale pochopí, že jeden z těch dvou požadavků byl neoprávněný).

    On druhý faktor nemá být absolutní ochrana – hlavním účelem druhého faktoru je to, aby nebylo možné ukrást něčí přístupové údaje trvale. Pokud uživatel nechtěně umožní útočníkovi provést jednu akci a při tom zjistí, že má kompromitován počítač, je to velmi dobrý výsledek.

    Stejně to funguje i s elektronickým podpisem a klíčem umístěným na čipové kartě. Pokud si útočník nechá podepsat svůj dokument, ale tím se prozradí, je to velice dobrý výsledek. Vlastník podpisu ví, že byl jeho privátní klíč kompromitován a má jej okamžitě revokovat. A platnost toho dokumentu pak nejspíš úspěšně napadne u soudu, protože dokument podepsaný těsně před revokací certifikátu bude velmi podezřelý.

  • 7. 10. 2021 12:57

    bez přezdívky

    YubiKey ma v sobe hromadu aplikaci. Umi pocitat HMAC, desifrovat a podepisovat RSA, (myslim i EC), pocitat 2FA ala google authentikator, dokaze si zapamatovat konstantni tajemstvi a to zpetne vratit jen pri zadani hesla/pinu, umi sifrovat/pode­pisovat GPG. Kod co tohle dela je vypalenej v ROM, takze se neda modifikovat (tedy ani updatovat) + je tam CPU, ktere ten kod provadi a samozrejme tam bude i nejaka RW pamet, ke ktere vsak neexistuje rozhrani a je jen na to programu v ROM, co si z te pameni vezme a co vam rekne, coz je vlastne smysl celeho toho klice. Kdyz vam teda YK nekdo ukradne, mate tam svuj GPG klic, tak mate 3 pokusy na to, zadat spravne pin, pak se klic smaze. Rozebrat tu vec dost dobre nejde a kazda z dech aplikaci se chova jinak.

    Takze, uplne obecne, zalezi kterou z tech aplikaci pouzivate. Nektere chteji pin, jine chteji otist, jine nechteji nic, nekdy se to da nastavit, jindy ne. Treba ten HMAC muzete chranit kodem, ktery kdyz zapomenete, tak uz ho nevyresetujete. To jen tak pro zajimavost. Predchozi verze YubiKey maji misto otisku jen tlacitko a to je tam proto, aby kdyz mate YK zasunutej v USB a nekdo se do nej nejak dostane (hackne ho), tak YK nemuze pouzit, pokud to tlacitko fyzicky nezmacknete. Tak to tlacitko ted proste bude jen na konkretni prst.

    Maji na strankach docela slusnou dokumentaci a pro linux i docela obstojne API. Lidi z tech aplikaci obvykle vyuzivaji jen zlomek.

  • 7. 10. 2021 14:26

    bez přezdívky

    YubiKey ma v sobe hromadu aplikaci. Umi pocitat HMAC, desifrovat a podepisovat RSA, (myslim i EC), pocitat 2FA ala google authentikator, dokaze si zapamatovat konstantni tajemstvi a to zpetne vratit jen pri zadani hesla/pinu, umi sifrovat/pode­pisovat GPG. Kod co tohle dela je vypalenej v ROM, takze se neda modifikovat (tedy ani updatovat) + je tam CPU, ktere ten kod provadi a samozrejme tam bude i nejaka RW pamet, ke ktere vsak neexistuje rozhrani a je jen na to programu v ROM, co si z te pameni vezme a co vam rekne, coz je vlastne smysl celeho toho klice. Kdyz vam teda YK nekdo ukradne, mate tam svuj GPG klic, tak mate 3 pokusy na to, zadat spravne pin, pak se klic smaze. Rozebrat tu vec dost dobre nejde a kazda z dech aplikaci se chova jinak.

    Takze, uplne obecne, zalezi kterou z tech aplikaci pouzivate. Nektere chteji pin, jine chteji otist, jine nechteji nic, nekdy se to da nastavit, jindy ne. Treba ten HMAC muzete chranit kodem, ktery kdyz zapomenete, tak uz ho nevyresetujete. To jen tak pro zajimavost. Predchozi verze YubiKey maji misto otisku jen tlacitko a to je tam proto, aby kdyz mate YK zasunutej v USB a nekdo se do nej nejak dostane (hackne ho), tak YK nemuze pouzit, pokud to tlacitko fyzicky nezmacknete. Tak to tlacitko ted proste bude jen na konkretni prst.

    Maji na strankach docela slusnou dokumentaci a pro linux i docela obstojne API. Lidi z tech aplikaci obvykle vyuzivaji jen zlomek.

  • 7. 10. 2021 23:05

    bez přezdívky

    A certifikace porad jen L1? Proc se nepropaguje treba trustkey ktery ma verzi s otiskem prstu davno a ma L2 certifikaci? A myslim neni jediny, minimalne do velkeho usb.

  • 8. 10. 2021 10:49

    bez_přezdívky

    Myslím si, že certifikace není všechno. Letmý pohled na vlastnosti toho Trustkey ukazuje, že nepodporuje třeba pgp. Aplikace pro Linux je? Nebo není? Jak tam nastavím SSH klíč? Podepíšu s tím commity v git repu? Potom je mi L2 certifikace k ničemu, když to nemůžu použít na to, co portřebuji (a nejspíš i většina místních uživatelů).

  • 8. 10. 2021 11:18

    Michal Kubeček

    Podle popisu to vypadá, že všechny čtyři Trustkey klíče (G310H, G320H, T110, T120) jsou jen FIDO2/U2F, tedy zcela bez podpory openpgp nebo X.509. S kompatibilitou by problém být neměl, IIRC dokonce zrovna tyhle naše IT testovalo pro 2FA. Ale na podepisování souborů, e-mailů nebo commitů to použít nepůjde, podobně jako třeba Nitrokey FIDO2. Novější verze openssh mají AFAIK i nějakou podporu autentizace pomocí FIDO2/U2F klíče, ale pokud chcete používat klíč i na něco jiného než 2FA webových aplikací, doporučil bych spíš nějaký klíč, který umí openpgp/X.509 (např. Nitrokey Pro 2) nebo ještě lépe oboje (Yubikey, již brzy snad i Nitrokey 3).

  • 8. 10. 2021 11:23

    Michal Kubeček

    Hm... tak v popisu toho Yubikey Bio taky není ani slovo o X.509, openpgp nebo gpg. To je docela překvapivé, protože dosud bylo výhodou Yubikey klíčů oproti Nitrokey právě to, že nebyly potřeba dva různé.

  • 8. 10. 2021 12:30

    bez_přezdívky

    Díky...

    To jsem z popisu pochopil. Můj příspěvek byl dotaz na zamyšlení, jestli jsou oba produkty srovnatelné. Třeba ty podpisy - pgp/X.509 jsou pro mne klíčová vlastnost a ostatní věci považuji za více než příjemný benefit. Stejně tak jednoduchost použití a tak. Pro Trustkey například nikde nevidím nativní aplikaci pro linux na správu, což je pro mne veliké varování (Jak nastavím třeba ten otisk prstu?). Berte to z pohledu linuxáka, který si vybírá, co pořídí...

  • 10. 10. 2021 20:57

    bez přezdívky

    K nastaveni otisku prstu nebo pinu staci chrome based webovy prohlizec a navstivit adresu:
    chrome://settin­gs/securityKe­ys
    treba ve vivaldi me to pak presmeruje na
    vivaldi://set­tings/security­Keys
    Netreba doufat ze vyrobce vyda pouzitelny software pro operacni system ktery zrovna potrebuju.

    Ano, priznam se pouzivam jen U2F takze ostatni funkcionalitu neresim, ale uznavam ze to muze byt duvod protezovani YubiKey.

  • 8. 10. 2021 18:51

    Filip Jirsák

    Je to tak, že by L2 nesplnili, nebo by ji (podle toho, co se ví) splnili, ale nevyplatí se jim certifikaci podstoupit?