11
Keepass mit PKI und NFC
Hallo,
welche Möglichkeiten / Produkte gibt es für eine Zwei-Faktor-Authentifizieurng mit KeyPass und PKI / NFC Karte? Also ich wollte eine Chipkarte mit NFC-Funktionalität (wg. Smartphone) nutzen, um eine Zwei-Faktor-Authentifizierung bei KeePass zu ermöglichen. Was gibt es da auf dem Markt? Yubikey find ich jetzt net so doll, da USB ...
welche Möglichkeiten / Produkte gibt es für eine Zwei-Faktor-Authentifizieurng mit KeyPass und PKI / NFC Karte? Also ich wollte eine Chipkarte mit NFC-Funktionalität (wg. Smartphone) nutzen, um eine Zwei-Faktor-Authentifizierung bei KeePass zu ermöglichen. Was gibt es da auf dem Markt? Yubikey find ich jetzt net so doll, da USB ...
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 271827
Url: https://administrator.de/contentid/271827
Printed on: April 25, 2024 at 01:04 o'clock
11 Comments
Latest comment
Hi,
sg Dirm
mit NFC-Funktionalität (wg. Smartphone)
wie meinst du denn das?sg Dirm
es gibt doch karten, die einen NFC-Chip haben. man kann dann die Karte ans Smartphone halten und der Schlüssel wird dann darüber bspw. in die Zwischenablage gelegt, so dass man dann 2 Schlüssel benutzen kann. Macht Yubikey jedenfalls so.
Wie wäre es damit die Entwickler zu Fragen?
Zu einfach?
Zu einfach?
Mifare Classic (recht einfach, aber kann inzwischen kopiert warden), Desfire ist dann sicher.
sg Dirm
man kann dann die Karte ans Smartphone halten und der Schlüssel wird dann
darüber bspw. in die Zwischenablage gelegt, so dass man dann 2 Schlüssel benutzen kann
Wie willst du die Verbindung von Smartphone zu PC herstellen? hm gibt's dafür eine App?darüber bspw. in die Zwischenablage gelegt, so dass man dann 2 Schlüssel benutzen kann
sg Dirm
Das geht nicht, da die in Smartphones üblichen NFC-Komponenten nicht ISO/IEC 14443-kompatibel sind. Die Hersteller sehen zu Recht keinen Bedarf für die Verwendung von Smartcards (sehr sichere Technik) auf gewöhnlichen Smartphones (gewissermaßen ab Werk kompromittierte Geräte). Auf einem SiMKo o.ä hat das Sinn.
Zitat von @c.r.s.:
Das geht nicht, da die in Smartphones üblichen NFC-Komponenten nicht ISO/IEC 14443-kompatibel sind. Die Hersteller sehen zu
Recht keinen Bedarf für die Verwendung von Smartcards (sehr sichere Technik) auf gewöhnlichen Smartphones
(gewissermaßen ab Werk kompromittierte Geräte). Auf einem SiMKo o.ä hat das Sinn.
Das geht nicht, da die in Smartphones üblichen NFC-Komponenten nicht ISO/IEC 14443-kompatibel sind. Die Hersteller sehen zu
Recht keinen Bedarf für die Verwendung von Smartcards (sehr sichere Technik) auf gewöhnlichen Smartphones
(gewissermaßen ab Werk kompromittierte Geräte). Auf einem SiMKo o.ä hat das Sinn.
naja so einfach ist das nicht mit dem "komischen NFC". Ab Android 4.4 gibt es HCE (Host based card emulation) und da kannst du die Kommunikation selbst steuern. Bist also unabhängig von einen Secure Element und seinen Fähigkeiten. (SE ist dann nur mehr optional)
Das SE wäre aber für das obige Scenario eh nicht wirklich wichtig und du kannst i.A. gar nicht darüber verfügen.
Ich denke die Idee des TO ist, das Smartphone (Android, Blackberry - nein iPhone geht nicht) als Lesegerät zu nutzen. Ist möglich, aber man benötigt die entsprechende App. Außerdem müsste man auch am PC einen Client haben, denn wenn das entschlüsselte Passwort vom Smartphone direkt gesendet wird, dann ist das vermutlich auch viel Aufwand für etwas mehr Sicherheit.
Interessanter wäre wohl das Smartphone als NFC Tokken zu nutzen. Aber das ist so ein naja Thema - wie sicher sind zB die Keys wenn sie im Dateisystem liegen? Zwar verschlüsselt durch die Android Keychain, aber im vergleich zu einem SE...
sg Dirm
Zitat von @Dirmhirn:
Ich denke die Idee des TO ist, das Smartphone (Android, Blackberry - nein iPhone geht nicht) als Lesegerät zu nutzen.
Ich denke die Idee des TO ist, das Smartphone (Android, Blackberry - nein iPhone geht nicht) als Lesegerät zu nutzen.
Ok, die Angabe des Standards war unpräzise. Aber das geht eben nicht, weil schon die Hardware das Lesen von NFC-Smartcards nicht unterstützt, bzw. mit welchem handelsüblichen Gerät soll es deiner Meinung nach funktionieren? HCE ändert daran nichts, weil es den Standard nur insoweit abbildet, dass das Smartphone wie eine Smartcard gelesen werden kann, nicht umgekehrt.
Lesen konnten sie schon immer - sonst macht's ja keinen Sinn.
z.B.: http://developer.android.com/about/versions/android-2.3.3.html
mit HCE hat man viel mehr Zugriff auf den NFC-Controller- kannst ihn eben auch als Transponder nutzen. Vorher wurden die Kommandos direkt an das Secure Element weitergegeben.
https://developer.android.com/guide/topics/connectivity/nfc/hce.html
davor ging's z.B.: mit Cyanogen, bei manchen Geräten (vorzugsweise Nexus). Was auch arbeiten zu relay Attacken neuen Aufschwung gegeben hat.
https://eprint.iacr.org/2011/618.pdf
Nur wie gesagt, ich versteh den Hintergedanken der TO-Idee noch nicht ganz.
sg Dirm
z.B.: http://developer.android.com/about/versions/android-2.3.3.html
mit HCE hat man viel mehr Zugriff auf den NFC-Controller- kannst ihn eben auch als Transponder nutzen. Vorher wurden die Kommandos direkt an das Secure Element weitergegeben.
https://developer.android.com/guide/topics/connectivity/nfc/hce.html
davor ging's z.B.: mit Cyanogen, bei manchen Geräten (vorzugsweise Nexus). Was auch arbeiten zu relay Attacken neuen Aufschwung gegeben hat.
https://eprint.iacr.org/2011/618.pdf
Nur wie gesagt, ich versteh den Hintergedanken der TO-Idee noch nicht ganz.
sg Dirm
Vielleicht reden wir deswegen aneinander vorbei. Ich denke, er will das Smartphone als Smartcard-Reader an einem PC oder eigenständig einsetzen. Da sind schon andere drauf gekommen, und es gibt fertige Implementierungen dazu: https://frankmorgner.github.io/vsmartcard/remote-reader/README.html
Die Frage ist halt, auf welchem Gerät das funktioniert; vielleicht bin ich da nicht auf dem aktuellen Stand. Nicht umsonst brauchte der Autor der genannten Software aber für sein Paper noch einen zusätzlichen Reader: https://sar.informatik.hu-berlin.de/research/publications/SAR-PR-2012-07 ...
Hast du das mit einem Nexus getestet? Ob Android das unterstützen würde, ist ja nicht der Punkt, sondern die Hardware.
die Nexus Reihe unterstützt NFC recht gut, weil Google hier Google Wallet gepusht hat. Von daher kamen angeblich auch die ersten Treber für HCE auf Cyanogen.
Soweit ich das mitbekommen habe, ist schon die Software (Android) lange zeit das Problem gewesen. Die Software lässt zb i P2P mode auch nur eine Nachricht pro Verbindung und Richtung zu.
Ich hab mit einem Nexus S als NFC Transponder gearbeitet. Das funktioniert recht ok. Aber auch hier war eher das Problem, dass die Software oft abgestützt ist. War noch mit Cyanogen 10 for Android 4.4.
Chips stecken da eh übliche verdächtige drinnen.
http://en.wikipedia.org/wiki/List_of_NFC-enabled_mobile_devices
NXP PNxxx hast du zB auch in vielen Desktopreadern.
Aber auch hier scheitert es oft an der Software Unterstützung - weil proprietär.
http://nfc-tools.org/index.php?title=Main_Page
http://nfc-tools.org/index.php?title=Devices_compatibility_matrix
Du meinst wahrscheinlich 3.2 in der Arbeit. Die Aussagen sind recht vage und ohne Quellen. Wenig Power - ja die Antennen sind oft recht auf den Akku gemurkst.
Die Übertragungstraten liegen bei Smartphones auch weit unter den theoretischen 424 kBit. (wobei ich zugeben muss, ich hab keine Quelle für praktische Werte bei Desktopreadern.) Aber zum Auslesen von handelsblichen NF-Cards reicht's inzwischen.
Außerdem geht's ja gegen Ende um die Sicherheit von so einer Smartphone-NFC-Reader-Lösung.
Seit 2012 hat sich einiges getan, aber es gibt noch immer wenig aufregende Lösungen mit NFC am Smartphone. Abgesehen von Google Wallet und Apple Pay vll. Wobei es um Apple Pay auch relativ schnell ruhig wurde.
Türschloss - die kompatibilitätsliste ist auch recht bescheiden:
http://www.evva.at/produkte/elektronische-schliesssysteme-zutrittskontr ...
Du kannst zb deine NFC-fähige Kreditkarte, Pass, ... mit einem NFC-Androiden auslesen (zB.: Taginfo, MFClassic, NFC Developer, NDEF Writer).
Sicher, wenn die App das Datenformat nicht unterstützt, dann wird's nix. Gibt auch NFC Prozessor Cards, da muss die App angepasst werden.
btw. ISO/IEC 18092 ist quasi eine Erweiterung von ISO/IEC 14443, mit aktiven Transpondern. Dadurch wird auch der P2P Mode möglich. Das NFC Forum "sammelt" die Standards und bringt sie unter neuem Namen heraus
http://members.nfc-forum.org/specs/spec_list/
Soweit ich das mitbekommen habe, ist schon die Software (Android) lange zeit das Problem gewesen. Die Software lässt zb i P2P mode auch nur eine Nachricht pro Verbindung und Richtung zu.
Ich hab mit einem Nexus S als NFC Transponder gearbeitet. Das funktioniert recht ok. Aber auch hier war eher das Problem, dass die Software oft abgestützt ist. War noch mit Cyanogen 10 for Android 4.4.
Chips stecken da eh übliche verdächtige drinnen.
http://en.wikipedia.org/wiki/List_of_NFC-enabled_mobile_devices
NXP PNxxx hast du zB auch in vielen Desktopreadern.
Aber auch hier scheitert es oft an der Software Unterstützung - weil proprietär.
http://nfc-tools.org/index.php?title=Main_Page
http://nfc-tools.org/index.php?title=Devices_compatibility_matrix
Du meinst wahrscheinlich 3.2 in der Arbeit. Die Aussagen sind recht vage und ohne Quellen. Wenig Power - ja die Antennen sind oft recht auf den Akku gemurkst.
Die Übertragungstraten liegen bei Smartphones auch weit unter den theoretischen 424 kBit. (wobei ich zugeben muss, ich hab keine Quelle für praktische Werte bei Desktopreadern.) Aber zum Auslesen von handelsblichen NF-Cards reicht's inzwischen.
Außerdem geht's ja gegen Ende um die Sicherheit von so einer Smartphone-NFC-Reader-Lösung.
Die Frage ist halt, auf welchem Gerät das funktioniert
ja, das ist da Problem an dem NFC. Es wird als die sichere super duper einfache universal Lösung angepriesen, aber das ist's nicht. Die Software muss passen, die Hardware und mit der Sicherheit ist's auch so eine Sache...Seit 2012 hat sich einiges getan, aber es gibt noch immer wenig aufregende Lösungen mit NFC am Smartphone. Abgesehen von Google Wallet und Apple Pay vll. Wobei es um Apple Pay auch relativ schnell ruhig wurde.
Türschloss - die kompatibilitätsliste ist auch recht bescheiden:
http://www.evva.at/produkte/elektronische-schliesssysteme-zutrittskontr ...
Du kannst zb deine NFC-fähige Kreditkarte, Pass, ... mit einem NFC-Androiden auslesen (zB.: Taginfo, MFClassic, NFC Developer, NDEF Writer).
Sicher, wenn die App das Datenformat nicht unterstützt, dann wird's nix. Gibt auch NFC Prozessor Cards, da muss die App angepasst werden.
btw. ISO/IEC 18092 ist quasi eine Erweiterung von ISO/IEC 14443, mit aktiven Transpondern. Dadurch wird auch der P2P Mode möglich. Das NFC Forum "sammelt" die Standards und bringt sie unter neuem Namen heraus
http://members.nfc-forum.org/specs/spec_list/
1Zitat von @Dirmhirn:
Du meinst wahrscheinlich 3.2 in der Arbeit. Die Aussagen sind recht vage und ohne Quellen. Wenig Power - ja die Antennen sind oft
recht auf den Akku gemurkst.
Du meinst wahrscheinlich 3.2 in der Arbeit. Die Aussagen sind recht vage und ohne Quellen. Wenig Power - ja die Antennen sind oft
recht auf den Akku gemurkst.
Wir haben in der Entwicklung etwa zur selben Zeit dieselbe Erfahrung gemacht, allerdings weiß ich nun nicht mit welchen Geräten genau (Samsung auf jeden Fall).
Aber danke für die Berichtigung, dann lohnt sich noch mal ein Blick darauf. Das hätte ja einige Vorteile ggü. den etablierten MicroSD-Lösungen.
