Fragen? Antworten! Siehe auch: Alternativlos
Ist zwar richtig, dass Krypto selten angegriffen wird, aber gerade bei TPMs und Smartcards hatten wir echt ernsthafte Fälle von ranziger Krypto:Das ist nur ein Beispiel des Fehlers, da waren nicht nur TPMs, sondern auch SmartCards, Yubikeys und ähnliches betroffen. Gerade weil diese Chips so klein sind, und da irgendwie nur ein kleines Team von Leuten ohne besonders große Expertise dran rumbastelt, und es da keine sauber geauditete freie Software gibt, die das erledigt, ist das alles noch mal um ein paar Größenordnungen ranziger als sonst.
FIDO2 hat wohl auch deshalb auch auf RSA verzichtet, aber eine elliptische Kurve gewählt, die bei DJB definitiv als nicht trivial sicher implementierbar aufgelistet ist. Warum macht man sowas? Die NIST-Kurven mit ihrer NSA-Vergangenheit sind eh nicht besonders zu empfehlen. Nicht nur deshalb, sondern, weil da viele Details unnötig komplex sind.
Als jemand, der in der Donna-Implementierung von ed25519 erst mal zwei Löcher beseitigen musste (1. kein Constant-Time Diffie-Hellman-Exchange — das war in der Referenz-Anwendung nicht verlangt, aber ist ein sinnvolles Primitive, 2. Secret Keys werden auf dem Stack zurückgelassen und nicht gelöscht — das ist ein Standard-Faux-Pas, den man fast überall findet) kann ich nur sagen, dass Krypto halt doch schwer ist.
Mein Pet Peeve an FIDO2 ist, dass sie sich gar keine Gedanken über Recovery gemacht haben. Wenn das Token weg ist, ist der Zugang weg. Ich denke, die haben sich deshalb keine Gedanken gemacht, weil es ja diese herrliche Passwort-Zurücksetzen-Funktion über E-Mail gibt. Solange es das gibt, ist der Verlust des Tokens natürlich beherrschbar.
Aber dafür ist dann der Verlust des E-Mail-Accounts wieder die gleiche Katastrophe wie bisher auch schon. Ne, Leute! Und dass der E-Mail-Account natürlich auch mit dem Token abgesichert sein sollte, das hat sich von den Hirnwichsern keiner gedacht, oder?
Am Grundprinzip Pubkey-Authentication finde ich jetzt übrigens alles richtig.
Das ist ok so.