使用Yubico PIV 工具和YubiKey PIV 管理器,我可以将我的客户端 TLS 证书加载到 PIV 插槽中,并使用它在 Firefox 中进行身份验证。这很棒。然而...
有什么方法可以防止 PIV 的私钥被导出?据我所知,PIV 管理密钥仅保护设备不被修改,但不保护包含的内容不被导出。
如果这是准确的,那么 YubiKey 似乎并不能真正用作 PIV 2FA 设备,因为 2-factor 假定“您拥有的东西”,并且我将设备插入的任何机器(或在后台运行的软件)都可以制作功能齐全的软拷贝。
我在 Yubico 论坛上交叉发布了这个问题。
以下是我演示问题的方式:
- 通过“YubiKey PIV Manager”(my-cert.crt)导出的证书
- 通过“YubiKey PIV Manager”从 YubiKey 删除证书
- 通过“YubiKey PIV Manager”(my-cert.crt)导入的证书
- 重新启动 Firefox(加载了 OpenSC)
- 我仍然能够通过 PIV 进行身份验证