问题标签 [fido-u2f]

我想使用自定义 Chrome 扩展作为我的服务的前端，我需要通过 U2F 进行身份验证。似乎是一个合法的用例，但我怀疑它是否可能。例如，AppID 的规则说AppID只能是https://...，android:...或ios:...，而没有提及chrome-extension://。

只是为了确保，我写了一个小片段，它试图从 chrome 扩展触发 u2f 令牌注册（gfljdbncaopiledjkfbcheahnbimjalm显然是它的 ID）：

但是得到 {errorCode: 2} （这意味着“错误的请求”，包括格式错误的 AppID）。

真的完全不可能吗？如果是，有什么好的理由吗？

已经宣布 Windows 10 将支持 FIDO2 日志记录 ( https://www.windowscentral.com/windows-hello-adding-support-fido2-security-keys )。Аs 据我了解，支持来自 YubiKey 等一些生产商的设备支持在 Windows 登录时使用 FIDO2。

我的公司生产了一种允许无密码身份验证的设备：它是一种具有指纹读取功能的智能卡。有谁知道我们应该如何处理使用 Windows 10 FIDO2 日志记录添加对我们设备的支持的主题？

我们希望达到这样的效果，一旦我们设备的驱动程序安装在客户端机器上，我们希望设备允许用户（一旦他们的指纹被注册）使用 FIDO2 以无密码方式登录 Windows，即拥有用户通过 USB 连接智能卡并在设备上扫描他们的手指。

任何人都可以建议我使用 Windows 10 FIDO2 提供支持的方向吗？

试图将我的头包裹在 FIDO 协议套装上。

前提

1. Authenticator 有一个主私钥（也称为 attestation key）
   
2. 在注册仪式期间，验证者签署挑战和其他几个参数以及新生成的公钥，并通过 WebAuthN 协议将其发送到 FIDO 通用服务器。并且生成的私钥存储在本地的身份验证器中。

问题

1. FIDO服务器如何验证authenticator生成的公钥的完整性（简单地说服务器如何验证证书链回信任根）？这是假设身份验证器和 Web 客户端之间存在中间人攻击的范围。
   
2. 服务器是否内置了相应的认证密钥/主私钥的公钥（复制CA模型）？
   
3. 如果是这样，所有的 fido 身份验证器在创建时是否都具有相同的主密钥（无论是软件模块还是硬件模块）？如果不是，制造商和 FIDO 服务器如何跟上正在创建和部署的大量物理身份验证器和软件模块？

我目前正在使用window.u2fAPI 在我的网站上实现 U2F 两因素身份验证。这些在 Firefox（启用 about:config 标志时）和通过带有u2f-api.js库的 Chromium 原生可用。

我的实现window.u2f.register(...)在密钥设置和window.u2f.sign(...)登录期间使用。

我已经读到新的Web 身份验证 API是向后兼容的，并且也支持 FIDO U2F，但是，我找不到任何有关如何实现它的信息。所有示例似乎只演示了 FIDO2 无密码登录，这不是我想要做的。

如何使用 Web 身份验证 API 实现具有等效功能的window.u2f.registerFIDO U2F？window.u2f.sign

我知道 Google 的 Firebase/Firestore 平台支持多种身份验证方法/后端，但我目前没有看到 Fido2 或 WebAuthn 用于 Firebase 身份验证的任何选项。有谁知道 Google 是否有时间表在其 Firebase 开发平台上发布对 Fido2 的支持？或者，如果它已经可用，而我只是缺少一些东西。

我目前只使用 Spark FREE 计划，所以我不知道这是否有问题。

任何见解或帮助将不胜感激。

干杯!

我有一个在 Xamarin.Android 中开发的移动应用程序，该应用程序用于访问员工到他们的工作地点。它包含蓝牙身份验证，这就是我使用 Fido U2F 身份验证的原因。对于身份验证目的，我没有得到任何正确的解决方案。我找到了一个仅支持 android 的解决方案，因为我在我的应用程序中使用了这个解决方案，导致了一些参考问题。这里的解决方案包含一个可执行的 jar 文件，我所做的是创建一个 android 构建库项目并在项目中添加 jar 文件，然后在我的 xamarin 应用程序中引用该 dll。在我得到的解决方案中，我没有得到我期望的参考。

共享解决方案链接： 此链接

请帮我。

提前致谢

我有一个 USB 安全令牌，用于生成密钥对并将安全数据保存在它的内存中。

与此令牌的通信是通过 c++ 库进行的。像 readMemory() 和 writeMemory() 一样，还有 genKeyPair()。

我想在 FIDO 解决方案中使用这个令牌。连接令牌并与之通信的方法是什么？

我访问了 fidoalliance.org 网站。

我一直在研究使用 Google Chrome 实现 CTAP2 协议（Fido Authenticator 和 Fido 客户端（例如 Chrome）之间的协议），Chrome从版本 69 起应该支持该协议。

所以我在两种情况下将 chrome 请求转储给了身份验证器：

1. U2F (CTAP1) 与yubico 演示网站。

这里一切都按预期进行，chrome 遵循CTAP1 协议。

2. FIDO2/Webauthn (CTAP2) 与webauthn.org

浏览器有一个奇怪的行为：

• 它首先通过发送 AuthenticatorGetInfoRequest 遵循 CTAP2 协议
• Authenticator 回复 AuthenticatorGetInfoResponse
• 但随后 Chrome 通过发送注册请求消息 (U2F_REGISTER) 切换到 CTAP1 协议

Chrome 实现是否有问题：CTAP2 尚未完全启用（它似乎在 Chromium 源代码中实现）？

还是来自身份验证器的问题：发送使 Chrome 切换到 CTAP1 的响应？

还是完全不同的东西？

我有个疑问。我已经围绕 Yubico U2F 键设置了一个完整的解决方案。但是现在，我无法停止为同一应用程序 ID 的用户重复注册同一设备。在检查我的数据库上的键柄时，它们为每个重复注册显示不同的值。请帮帮我。

语境：

我正在开发带有 nRF52 BLE SoC 的 FIDO-U2F 蓝牙身份验证器。并希望它用谷歌示例进行测试。

到目前为止，我已经实现了FIDO 蓝牙规范，并且我有一个宣传为 FIDO 兼容设备的设备。

感谢nRF Connect，我确保所有服务和特征都正确公开，并且只有在我的设备安全配对（与 LTK）时我才能与之交互：

问题：

当应用程序扫描符合条件的 FIDO 设备时，它没有找到我的设备。

我卡在要求按下按钮 5 秒的屏幕上，我不需要这样做，因为我的设备在没有用户交互的情况下响应配对请求并且已经与我的 SAMSUNG A8 配对。

我试图删除配对数据，我所拥有的是：

广告标志目前设置为“不支持 BR/EDR ”，但我也尝试了“ LE Limited Discoverable Mode ”和“ LE General Discoverable Mode ”，但均未成功。

我查看了android-fido源，但 BLE 扫描似乎是从其他地方导入的，我无法在这个项目中调试它。

欢迎任何指针