问题标签 [fido]

我正在尝试使用 Android PoC 应用程序测试我的 Galaxy S6 设备的 FIDO ( https://fidoalliance.org ) 功能。到目前为止，我已经设法使用 DISCOVER Intent 检索可用的 FIDO 身份验证器，并成功返回了指纹身份验证器。

但是，当我尝试通过 REGISTER FIDO 操作注册身份验证器时，我总是收到错误代码 UNKNOWN (0xFF)，我不知道是什么原因。FIDO 文档指出，当其他1-7 错误代码未描述此代码时，将返回此代码。我收到了错误代码 5（没有合适的身份验证器）、6（协议错误）和 7（不受信任的 Facet ID），同时进行了反复试验，但最后，在解决了这些原因之后，我只剩下了未知错误。

我已经检查了多次，但 FIDO 文档的语法没问题；也将其留在这里：

该组件试图解决的意图是：ComponentInfo{com.sec.android.fido.uaf.client/com.sec.android.fido.uaf.client.OxygenActivity}，它似乎在其清单中导出：

有没有其他人遇到过并找到解决方案？

注意：在 Xperia Z5 上进行了相同的测试，组件试图解析 Intent 是“com.noknok.android.mfac.service”。但是，在 Z5 上，我总是收到错误代码 6（协议错误），而不是未知。

我正在研究 FIDO UAF（无密码登录）并想知道是否有任何浏览器支持它。到目前为止，我只发现它用于原生移动应用程序。

我最近发现了 FIDO UAF 架构，我目前正在尝试实现它。但是有些问题我找不到答案，我真的需要有人来解释我。这让我发疯，因为我不了解主要概念。

1 - 什么是身份验证器？我有一个 OnePlus 3。它有指纹传感器，我可以通过指纹 API 访问它。那是鉴定人吗？我必须付钱才能获得援助吗？

2 - 什么是 ASM？我正在用 C# 开发我的应用程序，所以如果我创建一个名为 ASM 的 C# 类，我做得对吗？

3 - 我如何获得援助？我怎么知道我的 OnePlus 3 的辅助功能？

4 - 我读到一些智能手机已经实现了 FIDO 客户端？我怎么知道我的 OnePlus 3 有没有？

对不起我的假问题。这对您来说可能没有意义，但正如您所见，我不了解 FIDO UAF 的概念。非常感谢大家。

我有具有注册和登录功能的现有网站。我想让这个过程 FIDO 符合 UAF / U2F 和后来的 FIDO2 的实现。不幸的是找不到一步一步的系列教程。我想用 PHP 来实现这个。

已经宣布 Windows 10 将支持 FIDO2 日志记录 ( https://www.windowscentral.com/windows-hello-adding-support-fido2-security-keys )。Аs 据我了解，支持来自 YubiKey 等一些生产商的设备支持在 Windows 登录时使用 FIDO2。

我的公司生产了一种允许无密码身份验证的设备：它是一种具有指纹读取功能的智能卡。有谁知道我们应该如何处理使用 Windows 10 FIDO2 日志记录添加对我们设备的支持的主题？

我们希望达到这样的效果，一旦我们设备的驱动程序安装在客户端机器上，我们希望设备允许用户（一旦他们的指纹被注册）使用 FIDO2 以无密码方式登录 Windows，即拥有用户通过 USB 连接智能卡并在设备上扫描他们的手指。

任何人都可以建议我使用 Windows 10 FIDO2 提供支持的方向吗？

我阅读了 Yubico 的所有出版物并查看了网络研讨会，但出于某种原因，他们保留了一些信息。

当将 Yubikey 5 用于 Single Strong Factor 时，他们声称身份验证器（我猜他们是指物理密钥的 CPU）为您使用“驻留密钥”方法注册的每个站点生成一个密钥对。他们承认注册人数是有限制的，因为他们每个人都占用了密钥上的一个位置，所以它不像 U2F 那样是无限的。因此我想知道：

1. 新5系的槽位上限是多少？（目前我还不知道其他供应商提供 FIDO2）
2. 可以手动重置旧使用的插槽以释放空间吗？
3. 远程恶意站点能否潜在地创建多个密钥注册事件，导致密钥填满所有空闲插槽？
4. 当我进入注册了多个帐户的服务的登录页面时，链的哪个部分要求我选择我希望登录的凭据？本地客户端（通常是 Web 浏览器）还是远程服务器？
5. 远程服务器能否检测到两个帐户使用相同的密钥注册？这不是用户应该注意的隐私问题吗？

感谢您提供的任何信息，无论是一般的 FIDO2 还是具体的 Yubico 硬件。

（试图标记此 FIDO2 但我无法创建新标记）

试图将我的头包裹在 FIDO 协议套装上。

前提

1. Authenticator 有一个主私钥（也称为 attestation key）
   
2. 在注册仪式期间，验证者签署挑战和其他几个参数以及新生成的公钥，并通过 WebAuthN 协议将其发送到 FIDO 通用服务器。并且生成的私钥存储在本地的身份验证器中。

问题

1. FIDO服务器如何验证authenticator生成的公钥的完整性（简单地说服务器如何验证证书链回信任根）？这是假设身份验证器和 Web 客户端之间存在中间人攻击的范围。
   
2. 服务器是否内置了相应的认证密钥/主私钥的公钥（复制CA模型）？
   
3. 如果是这样，所有的 fido 身份验证器在创建时是否都具有相同的主密钥（无论是软件模块还是硬件模块）？如果不是，制造商和 FIDO 服务器如何跟上正在创建和部署的大量物理身份验证器和软件模块？

我有一个 USB 安全令牌，用于生成密钥对并将安全数据保存在它的内存中。

与此令牌的通信是通过 c++ 库进行的。像 readMemory() 和 writeMemory() 一样，还有 genKeyPair()。

我想在 FIDO 解决方案中使用这个令牌。连接令牌并与之通信的方法是什么？

我访问了 fidoalliance.org 网站。

我一直在研究使用 Google Chrome 实现 CTAP2 协议（Fido Authenticator 和 Fido 客户端（例如 Chrome）之间的协议），Chrome从版本 69 起应该支持该协议。

所以我在两种情况下将 chrome 请求转储给了身份验证器：

1. U2F (CTAP1) 与yubico 演示网站。

这里一切都按预期进行，chrome 遵循CTAP1 协议。

2. FIDO2/Webauthn (CTAP2) 与webauthn.org

浏览器有一个奇怪的行为：

• 它首先通过发送 AuthenticatorGetInfoRequest 遵循 CTAP2 协议
• Authenticator 回复 AuthenticatorGetInfoResponse
• 但随后 Chrome 通过发送注册请求消息 (U2F_REGISTER) 切换到 CTAP1 协议

Chrome 实现是否有问题：CTAP2 尚未完全启用（它似乎在 Chromium 源代码中实现）？

还是来自身份验证器的问题：发送使 Chrome 切换到 CTAP1 的响应？

还是完全不同的东西？

语境：

我正在开发带有 nRF52 BLE SoC 的 FIDO-U2F 蓝牙身份验证器。并希望它用谷歌示例进行测试。

到目前为止，我已经实现了FIDO 蓝牙规范，并且我有一个宣传为 FIDO 兼容设备的设备。

感谢nRF Connect，我确保所有服务和特征都正确公开，并且只有在我的设备安全配对（与 LTK）时我才能与之交互：

问题：

当应用程序扫描符合条件的 FIDO 设备时，它没有找到我的设备。

我卡在要求按下按钮 5 秒的屏幕上，我不需要这样做，因为我的设备在没有用户交互的情况下响应配对请求并且已经与我的 SAMSUNG A8 配对。

我试图删除配对数据，我所拥有的是：

广告标志目前设置为“不支持 BR/EDR ”，但我也尝试了“ LE Limited Discoverable Mode ”和“ LE General Discoverable Mode ”，但均未成功。

我查看了android-fido源，但 BLE 扫描似乎是从其他地方导入的，我无法在这个项目中调试它。

欢迎任何指针