AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

Erfahrung mit YubiKey etc. gesucht

Ein Thema von johndoe049 · begonnen am 30. Apr 2024 · letzter Beitrag vom 3. Mai 2024
Antwort Antwort
Seite 3 von 3     123   
johndoe049

Registriert seit: 22. Okt 2006
169 Beiträge
 
#21

AW: Erfahrung mit YubiKey etc. gesucht

  Alt 2. Mai 2024, 11:54
Ok, verstehe.

Du arbeitest also entweder für Fort Knox oder Area 51
Beneidenswert
Nee. Wir programmieren überwiegend Steuerungen für Produktionsmaschinen, automatische Produktionsauswertung, Dokumentationsnachweise für Produktionsprozesse, etc.

Je mehr es Cyber Angriffe auf Hersteller gibt und die Produktion lamgelegt wird oder einfach nur Parameter geändert werden umso neurotischer werden die Kunden. Parameter Änderungen wird als kritischer angesehen. Wenn dass nicht schnell genug auffällt, kann man komplette Produktionschargen entsorgen.

Wir machen keine aktive Werbung und setzen uns damit ab, dass wir halt "kreative" Sicherheit in die Steuerung einbauen. Daher war die Frage, ob wir Jubikey auch kreativ einsetzen können. Das System für die Gesichtserkennung haben wir nur in Verwendung, weil ich den Inhaber/Entwicker persönlich kenne. Ursprünglich wurde das für die Holzverarbeitung entwickelt. Sollte beim Sägen mögliche Überhitzungsquellen und Brandquellen frühzeitig erkennen und entsprechend Alarm auslösen. Daher Bild- und Wärme-Kamera.

Dass man das auch für was anderes verwenden kann, ist uns beim Grillen in den Sinn gekommen (Bei privaten Grillfesten und danach kann es ja auch "heiss" hergehen und bei ausreichend Alkohol kommt man halt auf Ideen, was man noch auf Temperatur prüfen kann. Damit meine ich natürlich nur das "Grillgut" - Also Steaks usw. ).
  Mit Zitat antworten Zitat
Benutzerbild von himitsu
himitsu

Registriert seit: 11. Okt 2003
Ort: Elbflorenz
44.062 Beiträge
 
Delphi 12 Athens
 
#22

AW: Erfahrung mit YubiKey etc. gesucht

  Alt 2. Mai 2024, 12:22
für ne RFID-Karte gegangen wäre
Bei den Karten kommt es dann auch nochmal drauf an.

Nur die Serial als Authentifizierung kann prinzipiell kopiert werden, wenn jemand kurz in die Nähe der Karte kommt.
Es lassen sich karten Simulieren, aber man kann auch aus China "inoffiziell" Karten bekommen, wo noch keine Serial eingebrannt ist, was man dann selbst nachholen kann, mit der kopierten Nummer.

Es gibt auch noch Karten mit einer Sicherheitsfunktion, wie z.B. Mifare DESFire, wo im Chip "versteckt" ein Schlüssel abgelegt werden kann, welcher bei der Authentifizierung für eine Berechnung genutzt werden kann, innerhalb der Karte.
Die Karte bekommt einen beliebigen Wert, verrechnet ihn mit dem Schlüssel, gibt das Ergebnis raus, das Programm macht das ebenfalls und vergleicht die Ergebnisse. (ja, für genug Geld und wenn dabei die Karte kaputtgehen darf, lässt sich auch dieser Schlüssel auslesen)

Und man kann es auch übertreiben und noch besserere Karten besorgen.


Es gibt auch nette USB-Fingerabdruckdinger, oder man könnte versuchen das Windows Hallo (Fingerabduck, Gesicht, RFIDkarte, oder ...) zu nutzen.
Ich hab hier auch einen, den man via Serial (oder USB ähhh Arduino) einbinden kann. Mit dem Fingerabdruck wird ein "Wert" verbunden, oder man kann die Fingerabdruckdaten selbst (also die kodierten "Merkmale") nutzen (jedes Mal wenn "neu" registriert wird, sind die anders) oder auch wirklich ein Image des Fingerabdrucks (bieten nicht alle Fingerprint-Reader und ich würde es auch nicht empfehlen).
Ja, da man die "kodierten Merkmale" auslesen und kopieren könnte oder sich auch in die Kommunikation mit dem PC einschleusen kann (wenn man physisch ans USB-Kabel ran kommt, bzw. ein Fake-USB-Gerät ansteckt),
aber auch beim YubiKey käme man eventuell ans USB-Kabel, z.B. eines Verlängerungskabels oder im PC bei den Frontusb ans Kabel und könnte eine Fake bzw. Reader zwischenschalten.
usw.

Fazit: Wenn man es genau nimmt, ist eigentlich NICHTS 100% sicher.
Neuste Erkenntnis:
Seit Pos einen dritten Parameter hat,
wird PoSex im Delphi viel seltener praktiziert.
  Mit Zitat antworten Zitat
Benutzerbild von Phoenix
Phoenix
(Moderator)

Registriert seit: 25. Jun 2002
Ort: Hausach
7.639 Beiträge
 
#23

AW: Erfahrung mit YubiKey etc. gesucht

  Alt 2. Mai 2024, 13:33
Es gibt auch nette USB-Fingerabdruckdinger, oder man könnte versuchen das Windows Hallo (Fingerabduck, Gesicht, RFIDkarte, oder ...) zu nutzen.
Wir haben leider auch genug Kunden in der Branche.

Das eigentliche Problem ist nämlich, dass an dem Rechner immer, 24/7, ein technischer User angemeldet ist und dort immer eine Instanz der Software läuft.

Das ist der einzige Grund, warum sich der Benutzer überhaupt in der eigentlichen Anwendung anmelden muss, denn ansonsten könnte man sich dort "einfach" auf die Windows-Authentifizierung verlassen und den Windows-User verwenden.

Aber dann müsste sich der User ja wieder von Windows abmelden, der neue Anmelden, warten bis die Software unter seinem Account neu gestartet wurde und kann dann erst loslegen.
Das ist aus irgendwelchen Gründen meist nicht gewollt.
Sebastian Gingter
Phoenix - 不死鳥, Microsoft MVP, Rettungshundeführer
Über mich: Sebastian Gingter @ Thinktecture Mein Blog: https://gingter.org
  Mit Zitat antworten Zitat
Benutzerbild von himitsu
himitsu

Registriert seit: 11. Okt 2003
Ort: Elbflorenz
44.062 Beiträge
 
Delphi 12 Athens
 
#24

AW: Erfahrung mit YubiKey etc. gesucht

  Alt 2. Mai 2024, 14:39
Für Windows Hallo soll in WinRT z. UWP eine API existieren. (selber noch nichts gemacht, aber wir nutzen in Win32 ja auch schon einige WinRT-API, z.B. rechts, für die Benachrichtigungen oder Bluetooth, wenn ich mich nicht irre)
https://learn.microsoft.com/en-us/uw...ectedfrom=MSDN

ansonsten wohl auch über den Browser
https://learn.microsoft.com/de-de/wi.../webauthn-apis
Neuste Erkenntnis:
Seit Pos einen dritten Parameter hat,
wird PoSex im Delphi viel seltener praktiziert.

Geändert von himitsu ( 2. Mai 2024 um 14:42 Uhr)
  Mit Zitat antworten Zitat
CCRDude

Registriert seit: 9. Jun 2011
678 Beiträge
 
FreePascal / Lazarus
 
#25

AW: Erfahrung mit YubiKey etc. gesucht

  Alt 3. Mai 2024, 10:28
Das eigentliche Problem ist nämlich, dass an dem Rechner immer, 24/7, ein technischer User angemeldet ist und dort immer eine Instanz der Software läuft.
Wenn es rund um die Uhr laufen soll, wäre das ja eine Sache für einen Systemdienst. Dann wäre die erste Trennschicht schon zwischen Dienst und Benutzeroberfläche, so dass der User-Account beispielsweise gar nicht mehr an die Dateien kommt, die der Servicenutzer nutzt. Und die Windows-Authentifizierung könnte eben doch genutzt werden, ggfls. inklusive erprobter Sicherheitshardware, die nicht nur Idee-beim-Grillen-Security-by-Obscurity ist. Und inklusive Protokollen und was alles fertig dazugehört.
  Mit Zitat antworten Zitat
johndoe049

Registriert seit: 22. Okt 2006
169 Beiträge
 
#26

AW: Erfahrung mit YubiKey etc. gesucht

  Alt 3. Mai 2024, 12:14
Zitat:
Das eigentliche Problem ist nämlich, dass an dem Rechner immer, 24/7, ein technischer User angemeldet ist und dort immer eine Instanz der Software läuft.
Kein Problem. Maschinenrichtlinie bzw. Arbeitsschutz. Der Zustand einer Maschine muss immer direkt ersichtlich sein um Fehler frühzeitig bei der Bedienung/Nutzung zu erkennen. Muss man sich erst einloggen gibt es nette Gespräche mit der Gewerbeaufsicht bei Unfällen. Wenn Zustand, Fehler, etc. nicht über den Monitor dargestellt werden sind entsprechende Leuchtzeichen, z.B. Turmleuchten, zu verwenden. Dann wird aber die notwendige Prüfung nach CE, UL, UKCA, usw. wieder teurer, da mehr Komponenten dokumentiert und geprüft werden müssen.

Ausserhalb von Deutschland ist das noch restriktiver.

Zitat:
Die Karte bekommt einen beliebigen Wert, verrechnet ihn mit dem Schlüssel, gibt das Ergebnis raus, das Programm macht das ebenfalls und vergleicht die Ergebnisse. (ja, für genug Geld und wenn dabei die Karte kaputtgehen darf, lässt sich auch dieser Schlüssel auslesen)
Diese Karten sind Standard bei uns. Challenge - Response with Fake Responses.

Zitat:
da man die "kodierten Merkmale" auslesen und kopieren könnte oder sich auch in die Kommunikation mit dem PC einschleusen kann (wenn man physisch ans USB-Kabel ran kommt, bzw. ein Fake-USB-Gerät ansteckt),
aber auch beim YubiKey käme man eventuell ans USB-Kabel, z.B. eines Verlängerungskabels oder im PC bei den Frontusb ans Kabel und könnte eine Fake bzw. Reader zwischenschalten.
usw.
Mal ernsthaft, wenn ein RFID Reader, Fingerprint, etc. nicht mit asymetrischer Verschlüsselung und Session Key arbeitet ist das für uns kein Gerät, was wir verwenden. Das ist eher was für ERP Systeme oder Lernsysteme. Nichts, was wir für Produktionsmaschinen verwenden würden. Da sind die möglichen Haftungsprobleme mit so einem Spielzeug einfach zu hoch.

Zitat:
Wenn es rund um die Uhr laufen soll, wäre das ja eine Sache für einen Systemdienst.
So und nicht anders. Steuerung als Systemdienst, Bedieneroberfläche und Statusanzeige als Applikation, die sich direkt startet. Bei externen Anzeigen im Maschinenleitstand wird auch asymetrisch verschlüsselt übertragen.

Zitat:
erprobter Sicherheitshardware, die nicht nur Idee-beim-Grillen-Security-by-Obscurity ist

Rate mal, womit man auch BSL-4 Labore absichern kann und so kleine unbedeutende Firmen wie BAE den Zugang absichern können.

Da ist nichts mit Security by Obscurity zu machen. Da braucht man schon nachweisliche Qualifikationen, Prüfungen, Zertifizierungen, möglichst auch Patente, einiges an Referenzen, usw.

Zurück zur Anfangsfrage:
Was bring Yubikey für einen Vorteil? Der "einfache" Key hat keinen Fingerprint und in der Dokumentation haben wir nichts gefunden, dass die Kommunikation asymetrisch verschlüsselt erfolgt. Wie sichert Yubikey einen Man in the middle Angriff ab und verhindert das kopieren von Daten auf ein Zweitterminal in Echtzeit. So wie wir das bisher verstanden haben, kann man mit einer entpsrechenden Schnittstelle (USB Kabel, Zwischenadapter mit Logic, ähnlich einem Keylogger, etc.) das Ergebnis vom Yubikey auch auf einen anderen PC mit verwenden. Da ist wird noch nicht mal das Zeitverhalten in der Kommunikation geprüft.

Gibt es Sicherheitszulassungen oder Prüfungen für diese Geräte und das SDK (FIPS 143, MISRA, DO178C, usw.). Bisher sehen wir hier keinen Sicherheitsgewinn für unsere Steuerungen. Das ist für uns bisher nur Security by Obscurity or Security by Marketing.
  Mit Zitat antworten Zitat
rabatscher

Registriert seit: 13. Dez 2007
Ort: Bruck an der Mur
69 Beiträge
 
#27

AW: Erfahrung mit YubiKey etc. gesucht

  Alt 3. Mai 2024, 15:28
Zitat:
Zurück zur Anfangsfrage:
Was bring Yubikey für einen Vorteil? Der "einfache" Key hat keinen Fingerprint und in der Dokumentation haben wir nichts gefunden, dass die Kommunikation asymetrisch verschlüsselt erfolgt. Wie sichert Yubikey einen Man in the middle Angriff ab und verhindert das kopieren von Daten auf ein Zweitterminal in Echtzeit. So wie wir das bisher verstanden haben, kann man mit einer entpsrechenden Schnittstelle (USB Kabel, Zwischenadapter mit Logic, ähnlich einem Keylogger, etc.) das Ergebnis vom Yubikey auch auf einen anderen PC mit verwenden. Da ist wird noch nicht mal das Zeitverhalten in der Kommunikation geprüft.
Also prinzipiell implementieren die Keys den Fido2 Standard. D.h. Private Keys werden auf dem Key gespeichert, Public Keys an die Anwendung
weiter gegeben (Enrollment).
Die Authentifizierung findet in der App statt: Die Applikation kreiert eine Zufallschallenge (z.B. 32Byte Zeichenfolge)
-> diese wird an den Key übergeben -> der Verschlüsselt den Key mit seinem Private Key -> Das Ganze kommt zurück zur App und kann da
per Public Key wieder entschlüsselt werden.
(Assertion)

Also der Standard ist da eigentlich recht klar... Die Library unterstützt RSA und Elliptical Curves - ich bin bisher nur über die EC curves
bei Yubiko und SoloKeys und RSA beim IPhone Passkey gestolpert.

Wie wärs eigentlich mit IOS/Android Passkeys? Die sind sehr artverwandt (siehe Webauthn aka Fido2 übers Web) mit etwas weniger Sicherheit insgesamt. Die Biometrie übernimmt das Handy . Nur brauchen dann Client PC und Handy nen Internetzugang...
  Mit Zitat antworten Zitat
Benutzerbild von Phoenix
Phoenix
(Moderator)

Registriert seit: 25. Jun 2002
Ort: Hausach
7.639 Beiträge
 
#28

AW: Erfahrung mit YubiKey etc. gesucht

  Alt 3. Mai 2024, 15:42
Gibt es Sicherheitszulassungen oder Prüfungen für diese Geräte und das SDK (FIPS 143, MISRA, DO178C, usw.). Bisher sehen wir hier keinen Sicherheitsgewinn für unsere Steuerungen. Das ist für uns bisher nur Security by Obscurity or Security by Marketing.
Es gibt FIPS-Yubikeys: https://www.yubico.com/products/yubikey-fips/
Die sind halt etwas teurer als die nicht Zertifizerten (beginnen bei ca. 80€ das Stück).

Wenn man sowas richtig einbindet, dann ist das ein vernünftiger Zweitfaktor, oder (gekoppelt mit einem anderen Zweitfaktor), ein sinnvoller Passwortersatz.

Aber wenn man schon andere vernünftige Lösungen hat (wie eben die Karten), dann sehe ich da auch keinen riesigen Vorteil drin.
Sebastian Gingter
Phoenix - 不死鳥, Microsoft MVP, Rettungshundeführer
Über mich: Sebastian Gingter @ Thinktecture Mein Blog: https://gingter.org
  Mit Zitat antworten Zitat
johndoe049

Registriert seit: 22. Okt 2006
169 Beiträge
 
#29

AW: Erfahrung mit YubiKey etc. gesucht

  Alt 3. Mai 2024, 15:56
Zitat:
Also prinzipiell implementieren die Keys den Fido2 Standard. D.h. Private Keys werden auf dem Key gespeichert, Public Keys an die Anwendung
weiter gegeben (Enrollment).
Die Authentifizierung findet in der App statt: Die Applikation kreiert eine Zufallschallenge (z.B. 32Byte Zeichenfolge)
-> diese wird an den Key übergeben -> der Verschlüsselt den Key mit seinem Private Key -> Das Ganze kommt zurück zur App und kann da
per Public Key wieder entschlüsselt werden.
(Assertion)
Das machen wir mit unseren RFID Karten genauso.
Wir haben aber noch einen RFID Reader, der die Daten erst überträgt, wenn man noch eine Zufallspin vom Monitor eingibt. D.h. die Verbindung wird dann nochmal zusätzlich verschlüsselt. Klingt Paranoid, das ist aber die session key verschlüsselte Übertragung von einer verschlüsselten Antwort.

Zitat:
Wie wärs eigentlich mit IOS/Android Passkeys? Die sind sehr artverwandt (siehe Webauthn aka Fido2 übers Web) mit etwas weniger Sicherheit insgesamt. Die Biometrie übernimmt das Handy . Nur brauchen dann Client PC und Handy nen Internetzugang...
Wieso sollte man eine Produktionsmaschine in einem Inselnetzwerk in das Internet schalten? Selbst wenn das im regulären Firmennetzwerk wäre, würde keiner eine Produktionsmaschine ins Internet hängen und sich Hacker einladen.
Biometrie ohne Wärmeerfassung fassen wir nicht an. iPhone hat zwar FLIR Kameras im Zubehör, aber keine mit einer Zertifizierung. Gleiches bei Android. Cat hat auch keine Zertifizierung. Bei Lebensmittelherstellern würde uns auch z.B. BSL-2 Eignung ausreichen. Wenns gefährlichere Produktion, wie z.B. Presswerk/Stahlverarbeitung oder Wasserstrahlschneiden ist, sehen wir genauer hin.

Zitat:
Es gibt FIPS-Yubikeys: https://www.yubico.com/products/yubikey-fips/
Die sind halt etwas teurer als die nicht Zertifizerten (beginnen bei ca. 80€ das Stück).
Wäre kein Hindernis. Ist doch noch günstig.

Zitat:
Aber wenn man schon andere vernünftige Lösungen hat (wie eben die Karten), dann sehe ich da auch keinen riesigen Vorteil drin.
Sind wir dem Kunden auch so am erklären.
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 3 von 3     123   


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 05:26 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz