根据本页下面的句子, “Yubico 的安全密钥”没有序列号。
序列号在所有 YubiKey 型号中都是唯一的,但没有序列号的安全密钥除外。
但是,在Yubico 演示站点中,同一个“Yubico”只能在1 个密钥中注册安全密钥。
所以,我认为“Yubico”有一些机制可以在不使用序列号的情况下识别每个“Yubiko”。
那么,webserver中的authenticator如何识别每个没有序列号的key呢?
问问题
354 次
1 回答
1
答案在 U2F 协议(公钥凭证和证明元数据)中找到:
公钥凭证
- 在注册仪式期间,安全密钥生成公钥密码密钥对。私钥永远不会离开安全密钥,公钥会在仪式结束时返回网站。该网站存储此凭据以供以后进行身份验证。
- 在身份验证仪式期间,网站会发送允许的用户注册公钥凭证列表。安全密钥将生成一个 U2F 断言,该断言返回网站。然后,该网站将验证该断言已由私钥签名,并检查所有数据是否符合预期。
查看U2F 协议的概述以了解更多信息。
证明和元数据
每个 Yubico 设备都有一个由 Yubico 的根 CA 签名的证明证书。网站可以通过检查根 CA 来验证 YubiKey 的真实性。该证明证书具有可以识别身份验证器模型的元数据。此证明证书遵循 U2F 隐私要求,并且没有任何可用于单独识别特定安全密钥的元数据。
了解有关Yubico U2F 证明和元数据的更多信息。
于 2020-07-16T19:33:43.157 回答