AW: Erfahrung mit YubiKey etc. gesucht
 

Nee. Wir programmieren überwiegend Steuerungen für Produktionsmaschinen, automatische Produktionsauswertung, Dokumentationsnachweise für Produktionsprozesse, etc.

Je mehr es Cyber Angriffe auf Hersteller gibt und die Produktion lamgelegt wird oder einfach nur Parameter geändert werden umso neurotischer werden die Kunden. Parameter Änderungen wird als kritischer angesehen. Wenn dass nicht schnell genug auffällt, kann man komplette Produktionschargen entsorgen.

Wir machen keine aktive Werbung und setzen uns damit ab, dass wir halt "kreative" Sicherheit in die Steuerung einbauen. Daher war die Frage, ob wir Jubikey auch kreativ einsetzen können. Das System für die Gesichtserkennung haben wir nur in Verwendung, weil ich den Inhaber/Entwicker persönlich kenne. Ursprünglich wurde das für die Holzverarbeitung entwickelt. Sollte beim Sägen mögliche Überhitzungsquellen und Brandquellen frühzeitig erkennen und entsprechend Alarm auslösen. Daher Bild- und Wärme-Kamera.

Dass man das auch für was anderes verwenden kann, ist uns beim Grillen in den Sinn gekommen (Bei privaten Grillfesten und danach kann es ja auch "heiss" hergehen und bei ausreichend Alkohol kommt man halt auf Ideen, was man noch auf Temperatur prüfen kann. Damit meine ich natürlich nur das "Grillgut" - Also Steaks usw. :)).

AW: Erfahrung mit YubiKey etc. gesucht
 

Bei den Karten kommt es dann auch nochmal drauf an.

Nur die Serial als Authentifizierung kann prinzipiell kopiert werden, wenn jemand kurz in die Nähe der Karte kommt.
Es lassen sich karten Simulieren, aber man kann auch aus China "inoffiziell" Karten bekommen, wo noch keine Serial eingebrannt ist, was man dann selbst nachholen kann, mit der kopierten Nummer.

Es gibt auch noch Karten mit einer Sicherheitsfunktion, wie z.B. Mifare DESFire, wo im Chip "versteckt" ein Schlüssel abgelegt werden kann, welcher bei der Authentifizierung für eine Berechnung genutzt werden kann, innerhalb der Karte.
Die Karte bekommt einen beliebigen Wert, verrechnet ihn mit dem Schlüssel, gibt das Ergebnis raus, das Programm macht das ebenfalls und vergleicht die Ergebnisse. (ja, für genug Geld und wenn dabei die Karte kaputtgehen darf, lässt sich auch dieser Schlüssel auslesen)

Und man kann es auch übertreiben und noch besserere Karten besorgen.


Es gibt auch nette USB-Fingerabdruckdinger, oder man könnte versuchen das Windows Hallo (Fingerabduck, Gesicht, RFIDkarte, oder ...) zu nutzen.
Ich hab hier auch einen, den man via Serial (oder USB ähhh Arduino) einbinden kann. Mit dem Fingerabdruck wird ein "Wert" verbunden, oder man kann die Fingerabdruckdaten selbst (also die kodierten "Merkmale") nutzen (jedes Mal wenn "neu" registriert wird, sind die anders) oder auch wirklich ein Image des Fingerabdrucks (bieten nicht alle Fingerprint-Reader und ich würde es auch nicht empfehlen).
Ja, da man die "kodierten Merkmale" auslesen und kopieren könnte oder sich auch in die Kommunikation mit dem PC einschleusen kann (wenn man physisch ans USB-Kabel ran kommt, bzw. ein Fake-USB-Gerät ansteckt),
aber auch beim YubiKey käme man eventuell ans USB-Kabel, z.B. eines Verlängerungskabels oder im PC bei den Frontusb ans Kabel und könnte eine Fake bzw. Reader zwischenschalten.
usw.

Fazit: Wenn man es genau nimmt, ist eigentlich NICHTS 100% sicher.

AW: Erfahrung mit YubiKey etc. gesucht
 

Wir haben leider auch genug Kunden in der Branche.

Das eigentliche Problem ist nämlich, dass an dem Rechner immer, 24/7, ein technischer User angemeldet ist und dort immer eine Instanz der Software läuft.

Das ist der einzige Grund, warum sich der Benutzer überhaupt in der eigentlichen Anwendung anmelden muss, denn ansonsten könnte man sich dort "einfach" auf die Windows-Authentifizierung verlassen und den Windows-User verwenden.

Aber dann müsste sich der User ja wieder von Windows abmelden, der neue Anmelden, warten bis die Software unter seinem Account neu gestartet wurde und kann dann erst loslegen.
Das ist aus irgendwelchen Gründen meist nicht gewollt.

AW: Erfahrung mit YubiKey etc. gesucht
 

Für Windows Hallo soll in WinRT z. UWP eine API existieren. (selber noch nichts gemacht, aber wir nutzen in Win32 ja auch schon einige WinRT-API, z.B. rechts, für die Benachrichtigungen oder Bluetooth, wenn ich mich nicht irre)
https://learn.microsoft.com/en-us/uw...ectedfrom=MSDN

ansonsten wohl auch über den Browser
https://learn.microsoft.com/de-de/wi.../webauthn-apis

AW: Erfahrung mit YubiKey etc. gesucht
 

Wenn es rund um die Uhr laufen soll, wäre das ja eine Sache für einen Systemdienst. Dann wäre die erste Trennschicht schon zwischen Dienst und Benutzeroberfläche, so dass der User-Account beispielsweise gar nicht mehr an die Dateien kommt, die der Servicenutzer nutzt. Und die Windows-Authentifizierung könnte eben doch genutzt werden, ggfls. inklusive erprobter Sicherheitshardware, die nicht nur Idee-beim-Grillen-Security-by-Obscurity ist. Und inklusive Protokollen und was alles fertig dazugehört.

AW: Erfahrung mit YubiKey etc. gesucht
 

Kein Problem. Maschinenrichtlinie bzw. Arbeitsschutz. Der Zustand einer Maschine muss immer direkt ersichtlich sein um Fehler frühzeitig bei der Bedienung/Nutzung zu erkennen. Muss man sich erst einloggen gibt es nette Gespräche mit der Gewerbeaufsicht bei Unfällen. Wenn Zustand, Fehler, etc. nicht über den Monitor dargestellt werden sind entsprechende Leuchtzeichen, z.B. Turmleuchten, zu verwenden. Dann wird aber die notwendige Prüfung nach CE, UL, UKCA, usw. wieder teurer, da mehr Komponenten dokumentiert und geprüft werden müssen.

Ausserhalb von Deutschland ist das noch restriktiver.

Diese Karten sind Standard bei uns. Challenge - Response with Fake Responses.

Mal ernsthaft, wenn ein RFID Reader, Fingerprint, etc. nicht mit asymetrischer Verschlüsselung und Session Key arbeitet ist das für uns kein Gerät, was wir verwenden. Das ist eher was für ERP Systeme oder Lernsysteme. Nichts, was wir für Produktionsmaschinen verwenden würden. Da sind die möglichen Haftungsprobleme mit so einem Spielzeug einfach zu hoch.

So und nicht anders. Steuerung als Systemdienst, Bedieneroberfläche und Statusanzeige als Applikation, die sich direkt startet. Bei externen Anzeigen im Maschinenleitstand wird auch asymetrisch verschlüsselt übertragen.

:)
Rate mal, womit man auch BSL-4 Labore absichern kann und so kleine unbedeutende Firmen wie BAE den Zugang absichern können.

Da ist nichts mit Security by Obscurity zu machen. Da braucht man schon nachweisliche Qualifikationen, Prüfungen, Zertifizierungen, möglichst auch Patente, einiges an Referenzen, usw.

Zurück zur Anfangsfrage:
Was bring Yubikey für einen Vorteil? Der "einfache" Key hat keinen Fingerprint und in der Dokumentation haben wir nichts gefunden, dass die Kommunikation asymetrisch verschlüsselt erfolgt. Wie sichert Yubikey einen Man in the middle Angriff ab und verhindert das kopieren von Daten auf ein Zweitterminal in Echtzeit. So wie wir das bisher verstanden haben, kann man mit einer entpsrechenden Schnittstelle (USB Kabel, Zwischenadapter mit Logic, ähnlich einem Keylogger, etc.) das Ergebnis vom Yubikey auch auf einen anderen PC mit verwenden. Da ist wird noch nicht mal das Zeitverhalten in der Kommunikation geprüft.

Gibt es Sicherheitszulassungen oder Prüfungen für diese Geräte und das SDK (FIPS 143, MISRA, DO178C, usw.). Bisher sehen wir hier keinen Sicherheitsgewinn für unsere Steuerungen. Das ist für uns bisher nur Security by Obscurity or Security by Marketing.

AW: Erfahrung mit YubiKey etc. gesucht
 

Also prinzipiell implementieren die Keys den Fido2 Standard. D.h. Private Keys werden auf dem Key gespeichert, Public Keys an die Anwendung
weiter gegeben (Enrollment).
Die Authentifizierung findet in der App statt: Die Applikation kreiert eine Zufallschallenge (z.B. 32Byte Zeichenfolge)
-> diese wird an den Key übergeben -> der Verschlüsselt den Key mit seinem Private Key -> Das Ganze kommt zurück zur App und kann da
per Public Key wieder entschlüsselt werden.
(Assertion)

Also der Standard ist da eigentlich recht klar... Die Library unterstützt RSA und Elliptical Curves - ich bin bisher nur über die EC curves
bei Yubiko und SoloKeys und RSA beim IPhone Passkey gestolpert.

Wie wärs eigentlich mit IOS/Android Passkeys? Die sind sehr artverwandt (siehe Webauthn aka Fido2 übers Web) mit etwas weniger Sicherheit insgesamt. Die Biometrie übernimmt das Handy ;). Nur brauchen dann Client PC und Handy nen Internetzugang...

AW: Erfahrung mit YubiKey etc. gesucht
 

Es gibt FIPS-Yubikeys: https://www.yubico.com/products/yubikey-fips/
Die sind halt etwas teurer als die nicht Zertifizerten (beginnen bei ca. 80€ das Stück).

Wenn man sowas richtig einbindet, dann ist das ein vernünftiger Zweitfaktor, oder (gekoppelt mit einem anderen Zweitfaktor), ein sinnvoller Passwortersatz.

Aber wenn man schon andere vernünftige Lösungen hat (wie eben die Karten), dann sehe ich da auch keinen riesigen Vorteil drin.

AW: Erfahrung mit YubiKey etc. gesucht
 

Das machen wir mit unseren RFID Karten genauso.
Wir haben aber noch einen RFID Reader, der die Daten erst überträgt, wenn man noch eine Zufallspin vom Monitor eingibt. D.h. die Verbindung wird dann nochmal zusätzlich verschlüsselt. Klingt Paranoid, das ist aber die session key verschlüsselte Übertragung von einer verschlüsselten Antwort.

Wieso sollte man eine Produktionsmaschine in einem Inselnetzwerk in das Internet schalten? Selbst wenn das im regulären Firmennetzwerk wäre, würde keiner eine Produktionsmaschine ins Internet hängen und sich Hacker einladen.
Biometrie ohne Wärmeerfassung fassen wir nicht an. iPhone hat zwar FLIR Kameras im Zubehör, aber keine mit einer Zertifizierung. Gleiches bei Android. Cat hat auch keine Zertifizierung. Bei Lebensmittelherstellern würde uns auch z.B. BSL-2 Eignung ausreichen. Wenns gefährlichere Produktion, wie z.B. Presswerk/Stahlverarbeitung oder Wasserstrahlschneiden ist, sehen wir genauer hin.

Wäre kein Hindernis. Ist doch noch günstig.

Sind wir dem Kunden auch so am erklären.