バックアップU2Fトークンを使用するための最良の戦略を理解しようとしています。理想的には、2つの同一のトークンが必要です。明らかに、私は簡単にアクセスできる主要なもの(たとえば、キーリング上)を用意しますが、簡単にアクセスできない場所に配置する2番目のもの(極端なケースは、壁にレンガで埋められているか、森のどこかに埋め込まれています)です。したがって、U2Fをサポートする新しいサービスに登録するときは常に、プライマリトークンを使用するだけで、2番目のトークンも自動的にサポートされることを知っています。この戦略は、安全でありながら信頼性の高いバックアップオプションを提供するための適切なトレードオフであると考えています。
しかし、どうやら、yubikeysで実行できる唯一のオプションは、2つの異なるトークンを用意し、それらを使用するすべてのサービスに両方とも手動でを登録することです。ただし、両方に簡単にアクセスできるようにしておく必要があるため、これは理想的ではありません。プライマリトークンを失うという悪いイベントでバックアップトークンのブリックを解除しなければならないのは問題ありませんが、すべての新しいサービスでそれを実行するのは現実的ではありません。 。
実際、ユビキーはOTPキーマテリアルのプログラミングをサポートしている(そして、2つのスロットさえあり、それは本当に素晴らしい)にもかかわらず、notに使用される秘密キーのプログラミングをサポートしていることを知って驚いたU2F。
他のモード(OTPなど)のシークレットデータはプログラム可能ですが、yubikeysのU2Fシークレットキーをプログラムできないという特別な理由はありますか?
TrezorのようなデバイスがU2Fを実装する方法を調べましたか?デバイスは、12または24ワードのシードフレーズを使用してすべてのキーをバックアップするため、キーがコンピューターに触れることなく、簡単にクローンを作成できます。 2Fカウンターも復元されます シードフレーズを使用して回復する場合。どうやら彼らは nixタイムスタンプをカウンターとして使用する 復元するときに、常にそれが常に大きいことを確認します。もちろん、これは一度に1つのデバイスしか機能できないことを意味しますが、最初のデバイスが失われたり損傷したりした場合、2番目のデバイスは復元後に正しいカウンターを持ちます。