Come utilizzare le smartcard PIV (YubiKey 4) per firmare i file binari dell'applicazione?

1

Sto per iniziare a utilizzare il mio YubiKey 4 (chiave RSA 2048 bit) per la firma dei file binari dell'applicazione. Ci sono alcuni tutorial su come impostare questo. Sembra che la maggior parte dei tutorial basati sulla guida originale di Yubico ( Android , MacOS ), che mi confonda.

Quando ho esaminato le informazioni sullo slot del certificato PIV , sono giunto alla conclusione che lo slot 9c, firma digitale , è lo slot corretto per la firma del codice mentre firmo digitalmente il binario con la mia chiave privata.

Tuttavia, ad esempio con la guida Android di Yubico e con altre guide, lo slot per certificato selezionato è 9a, che è per l' autenticazione PIV . L'utilizzo delle slot serve per " autenticare la carta e il titolare della carta " rispetto a " cose come l'accesso al sistema ", che è chiaramente un uso improprio dell'uso della firma del codice.

Qual è lo slot (semantico) corretto per un certificato di firma del codice con l'applet PIV di YubiKey 4? E c'è qualche motivo per cui usare / stick con slot 9a?

certificate  digital-signature  code-signing  yubikey 
burnersk
fonte

Risposte:

3

Gli strumenti YubiKey non applicano alcun tipo di restrizione o limitazione alle chiavi o ai certificati in determinati slot. Alcuni strumenti di terze parti lo fanno.

La più grande differenza tra i vari slot è la politica del PIN ad essi applicata. 9a, essendo destinato all'autenticazione, richiede l'inserimento del PIN una sola volta. È progettato per essere utilizzato per l'accesso al sistema, seguito da un numero qualsiasi di sessioni del browser Web.

9c, d'altra parte, richiede l'inserimento di un PIN per ogni transazione. Questa è una proprietà desiderabile per la firma.

Se si utilizza lo slot 9a per la firma, la scheda consentirà ulteriori firme fino allo spegnimento o alla rimozione della scheda.

9d funziona in modo simile a 9a, sebbene sia inteso per la crittografia, piuttosto che per l'autenticazione. Avere slot separati rende possibile fare cose come avere un certificato di autenticazione in 9a (con la chiave generata sulla scheda) e la crittografia in 9c (con la chiave caricata sulla scheda e depositata altrove in caso di perdita della scheda).

L'impegno non è generalmente una proprietà desiderabile per l'autenticazione, in quanto porta alla possibilità di rappresentazione. È un'ottima proprietà per la crittografia (poiché significa che i file non vanno persi nel caso in cui la carta venga bloccata, persa o danneggiata o il dipendente lasci il datore di lavoro).

9e non richiede autenticazione ed è inteso per cose come le serrature delle porte. L'uso di quello slot consentirebbe a qualsiasi applicazione di firmare senza l'interazione dell'utente.

In breve, lo slot 9c è in realtà lo slot corretto per la firma del codice. Poiché la maggior parte delle guide con YubiKeys sono destinate a supportare l'autenticazione (anziché la crittografia o la firma), tendono a utilizzare lo slot 9a.

Kate Grey
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.