web-dev-qa-db-ja.com

Yubikey:OpenPGPキーはPINとパスフレーズによってどのように保護されますか?

Ynukey 4をGnuPGでOpenPGPスマートカードとして使用する:ユーザーPINとユーザーパスフレーズはどのように保護されますか?

Yubikey 4に物理的にアクセスできる巧妙な攻撃者が、ユーザーPINとユーザーパスフレーズを知らずに、顕微鏡下で秘密鍵を物理的に抽出できた場合:

  • 秘密鍵を保護するために、この「最後の手段」でどのような暗号化(暗号、モード、ハッシュなど)が行われていますか?

  • これがGnuPGコードから作られた最後の暗号化バリアですか、それともYubikeyメーカーが独自のバージョンをコーディングしましたか?

    • Yubikey 4には互換性のあるOpenPGPスマートカードが記載されているため、G10スマートカードと同じPIN /パスフレーズ保護を備えているということですか?
cryptographypgpgnupgsmartcardyubikey
6
user3200534

PIN(パスフレーズ)が検証されていない状態で秘密鍵を使用できるようにするバグ があるとすると、カードは実際には秘密鍵を暗号化しない(これは、GnuPGでパスフレーズ保護された「通常の」キーを使用するときに行われます):

ソースコードには、ユーザーに関連する論理的な欠陥が含まれていますPIN(aka PW1)検証)これにより、ローカルホスト特権または物理的近接(NFC)を持つ攻撃者がユーザーの知識なしにセキュリティ操作を実行できますPINコード。

これが変更されたことは知りませんが、現在のリリースでは検証のみが修正されました。つまり、YubiKeyの秘密キーは暗号化されずに保存され、キーのストレージを読み取ることができる高度な攻撃者は暗号化されていない秘密キーを抽出できます。

0
Jens Erat