Použití hardwarového šifrovacího klíče GoTrust od MojeID na Linuxu

Je běžné pracovat na počítači a tak je jisté, že váš počítač obsahuje soukromá data, ať už osobní nebo pracovní. Proto by jste měli dbát na bezpečí těchto dat a bezpečí aplikaci kam se přihlašujete. Nejlepší způsob jak zajistit bezpečí přihlašení k aplikaci je použít hadrwarový šifrovací klíč. K webovým aplikacím k romu slouží například GoTrus s podporou protokolu FIDO2. V toto článku popíši zprovonění klíče GoTrus a svoji zkušenost s ním.

Zvýšit bezpečnost a zajistit pohodlí můžete pomocí správce hesel Bitwarden.

hardwarový šifrovací klíč GoTrust mně dorazil v akci #overenomojeid. Hlavní a základní princip je jako u čipocých karet Java Open Platform. S tím rozdílem, že tento HW klíč je na USB ma s výroby aplikaci a implementuje protokol FIDO2. Takže z pohledu uživatele stačí koupít klíč, mít prohlížeč s podporou FIDO2 a mužete se pomocí bezpečnostního líče přihlašovat k vaší aplikaci. Tedy pokud daná aplikace toho umí využít, což podporuje přihlášení pomoci FIDO2.

Jsou i jiní výrobci takových HW klíčů nejznámější je asi YubiKey.

Předmětem toho článku však není jak protokol a HW klíčenky fungují, ani jak funguje protokol FIDO2 nebo bezpečnost obecně. Ale jak zprovoznil hardwarový šifrovací klíč GoTrust v operačním systému GNU/Linux.

GoTrust Idem Key

Komunikuje protokoly: FIDO, FIDO2 U2F. Používá klíče ve formátu PKCS#11. Umí šifrovací algoritmy: RSA, ECDSA, SHA1, SHA256, 3DES, AES a další. Podporuje operační systémy: Windows, MacOS, Android, Linux a ChromeOS.

Zde jsou podrobnější informace a parametry GoTrust Idem Key, který mojeID, respektive sdružení cz.nic posílá.

Připojení

Po přípojení Klíčenky GoTrus k počítači můžete příkazem zadat příkaz dmesga uvidíte tyto informace z kernelu o o novém zařízení:

[10711.523373] usb 2-1: USB disconnect, device number 10
[10715.628534] usb 2-1: new full-speed USB device number 11 using xhci_hcd
[10715.756074] usb 2-1: New USB device found, idVendor=32a3, idProduct=3201, bcdDevice= 1.11
[10715.756077] usb 2-1: New USB device strings: Mfr=1, Product=2, SerialNumber=5
[10715.756078] usb 2-1: Product: Idem Key
[10715.756079] usb 2-1: Manufacturer: GoTrust
[10715.756079] usb 2-1: SerialNumber: 203401000023
[10715.760172] hid-generic 0003:32A3:3201.000A: hiddev2,hidraw5: USB HID v1.00 Device [GoTrust Idem Key] on usb-0000:00:14.0-1/input1
[10715.761103] input: GoTrust Idem Key as /devices/pci0000:00/0000:00:14.0/usb2/2-1/2-1:1.2/0003:32A3:3201.000B/input/input26
[10715.813398] hid-generic 0003:32A3:3201.000B: input,hidraw6: USB HID v1.01 Keyboard [GoTrust Idem Key] on usb-0000:00:14.0-1/input2

Po mocí příkazu lsusb, můžete vypsat jak je zařízení identifikováno na USB sběrnici:

Bus 003 Device 010: ID 32a3:3201 GoTrust Idem Key

Linux zprovoznění

Po zasunutí do USB klíč nezačne rovnou fungovat s prohlížečem. Aspoň u mě ne - používám distribuci mageia. Je potřeba upravit UDEV konfiguraci. Podrobnosti viz stránky výrobce FAQS of idem key.

Je potřeba vytvořit soubor faqs-of-idem-key /etc/udev/rules.d/70-u2f.rules s následujícím obsahem:

ACTION!="add|change", GOTO="u2f_end"

# GoTrust Idem Key
KERNEL=="hidraw*", SUBSYSTEM=="hidraw", ATTRS{idVendor}=="1fc9|32a3", ATTRS{idProduct}=="f143|3201", TAG+="uaccess"

LABEL="u2f_end"

Následně provést restart nastaveni UDEV pravidel příkazem:

udevadm control --reload-rules

A nyní jsem já již mohl pohodlně spárovat hardwarový šifrovací klíč s webovou aplikací mojeID a pomocí klíče se pak do ní přihlašovat.

Zde jsou i video návody jak na GoTrust Idem Key.

Bezpečnost a pohodlí

Tak jako Bitwarden, tak i hardwarový šifrovací klíč zvyšuje bezpečnost a přitom za vyššího pohodlí. Bitwarden podporuje i přihlašování pomoci takovéhoto klíče - takže ideální je to spárovat s ním.