Was tut eigentlich Linux hinsichtlich FIDO(2) inkl. Passkeys ?

bzw. gibt's Ankündigungen ab wann so was unterstützt wird ?



1 mal bearbeitet, zuletzt am 04.10.22 17:02 durch senf.dazu.

Ist keine Kernel Funktionalität, daher wirst du dazu keine Ankündigungen vom Kernel-Team bekommen.

PAM unterstützt U2F/FIDO aber schon ewig, siehe z.B. hier: https://wiki.archlinux.org/title/Universal_2nd_Factor#Authentication_for_Arch_Linux

Alles, was Du für fido2 zur Authentifizierung gegenüber Webseiten brauchst sind meist udev Rules. Meist in /etc/udev/rules.d, bei Ubuntu zudem in /etc/udev/rules.d/snap*

Die Frage ist aber eher wie und welche (Fido2 tauglichen) Sicherheitschips man von Seiten OS und Browser unterstützt? So das die bei Authentisierungsvorgängen am Ende nötigen Ok/Abbruch, Biometrie(-Ok), PIN Ein/Ausgaben sicher erfolgen - ohne jede Beteiligung des Systemprozessors und Betriebssystems - rein durch Sicherheitschip und damit sicher(verschlüsselt) kommunizierende und registrierte Hardware (Tastatur, Biometrie, Display). Und die kompletten Linux Schlüsseldaatenbanken über den Sicherheitschip gesichert (verschlüsselt) sind.

So das zumindest die Nutzung von Webdiensten (inkl. Bank&Co) per sicherer Authentisierung erfolgen können - trotz angreifbarem Systemprozessor, OS, Apps. Für die lokale Passwortdatenbank inkl. lokalem login sollte eiigentlich das Gleiche gelten. Zumindest sollte man Passworte/Keys und Biometrie auch bei angegriffenem Rechner (aber nicht Sicherheitschip) nicht klauen/faken können. (Keine Notwendigkeit Passworte/Schlüssel wegen eines Angriffes zu erneuern)

Und natürlich die OS-Tools die man benötigt um die Schlüsselbünde auf dem Sicherheitschip zu verwalten.

Gibt's zu dem Thema von Linux Seite vielleicht ein "Whitepaper" ?

Hersteller wie Apple bauen ihre eigenen Sicherheitschips und Biometrie in Smartphones, Tabletts, Computer, aber auch Tastaturen ein um das Problem der erwig angreifbaren Systemprozessoren, OS und Anwendungen/Apps in den Griff zu bekommen. Wobei letztlich auch Passwörter konsequent durch sicher auf dem Chip gespeicherte private/public Keys (in Verbindung mit PIN und Biometrie) ersetzt werden.

Aber kann Linux diese oder alternative Sicherheitschips bereits ebenso nutzen ? Oder gibt's zumindest Konzepte mit externen Fido2 Authentisierern, also z.B. auch den gerade aufkommenden Fido2 tauglichen Smartphones mit Sicherheitschips ?



14 mal bearbeitet, zuletzt am 11.01.23 14:25 durch senf.dazu.