Uso de la clave de cifrado por hardware GoTrust de MojeID en Linux

Es habitual trabajar con un ordenador, por lo que es seguro que éste contenga datos privados, ya sean personales o relacionados con el trabajo. Por lo tanto, debes tener cuidado con la seguridad de estos datos y con la seguridad de la aplicación en la que inicias sesión. La mejor forma de mantener seguro el inicio de sesión en tu aplicación es utilizar una clave de cifrado por hardware. Por ejemplo, GoTrus con soporte FIDO2 se utiliza para aplicaciones web a ron. En este artículo, describiré la clave GoTrus y mi experiencia con ella.

Puedes aumentar la seguridad y la comodidad con el gestor de contraseñas Bitwarden.

La clave de cifrado por hardware de GoTrust me llegó en #overenomojeid acción. El principio principal y básico es como el de Java Open Platform smart cards. Con la diferencia de que esta llave HW está en una aplicación de producción USB ma s e implementa el protocolo FIDO2. Así que desde la perspectiva del usuario, todo lo que necesita hacer es comprar la llave, tener un navegador habilitado para FIDO2 y puede utilizar la mejilla de seguridad para iniciar sesión en su aplicación. Eso, si la aplicación puede aprovecharlo, que soporta el inicio de sesión FIDO2.

Existen otros fabricantes de este tipo de llaves HW, el más famoso probablemente sea YubiKey.

Sin embargo, el tema de este artículo no es cómo funciona el protocolo y las llaves HW, ni cómo funciona el protocolo FIDO2 o la seguridad en general. Sino cómo hacer funcionar la clave de cifrado por hardware de GoTrust en el sistema operativo GNU/Linux.

Clave Idem GoTrust

Comunica los protocolos FIDO, FIDO2 U2F. Utiliza claves en formato PKCS#11. RSA, ECDSA, SHA1, SHA256, 3DES, AES y otros algoritmos de cifrado. Es compatible con los sistemas operativos Windows, macOS, Android, Linux y ChromeOS.

Aquí hay información más detallada y Los parámetros de la GoTrust Idem Key que envía mojeID o la asociación cz.nic.

Conexión

Después de conectar el llavero GoTrus a tu ordenador, puedes escribir dmesg con el comando y verás la siguiente información del kernel sobre el nuevo dispositivo:

[10711.523373] usb 2-1: USB desconectado, dispositivo número 10
[10715.628534] usb 2-1: nuevo dispositivo USB de velocidad completa número 11 usando xhci_hcd
[10715.756074] usb 2-1: Nuevo dispositivo USB encontrado, idVendor=32a3, idProduct=3201, bcdDevice= 1.11
[10715.756077] usb 2-1: Nuevo dispositivo USB cadenas: Mfr=1, Product=2, SerialNumber=5
[10715.756078] usb 2-1: Producto: Llave Idem
[10715.756079] usb 2-1: Fabricante: GoTrust
[10715.756079] usb 2-1: SerialNumber: 203401000023
[10715.760172] hid-generic 0003:32A3:3201.000A: hiddev2,hidraw5: Dispositivo USB HID v1.00 [Llave Idem GoTrust] en usb-0000:00:14.0-1/input1
[10715.761103] entrada: GoTrust Idem Key como /devices/pci0000:00/0000:00:14.0/usb2/2-1/2-1:1.2/0003:32A3:3201.000B/input/input26
[10715.813398] hid-generic 0003:32A3:3201.000B: input,hidraw6: Teclado USB HID v1.01 [GoTrust Idem Key] en usb-0000:00:14.0-1/input2

Con el comando lsusb, puede listar cómo se identifica el dispositivo en el bus USB:

Bus 003 Dispositivo 010: ID 32a3:3201 GoTrust Idem Key

Puesta en marcha de Linux

Al conectarla a USB la llave no empieza a funcionar con el navegador de inmediato. Al menos no en mi caso -estoy usando una distribución mageia. Necesitas editar la configuración de UDEV. Consulta el FAQS de idem key del fabricante para más detalles.

Necesita crear un archivo faqs-of-idem-key /etc/udev/rules.d/70-u2f.rules con el siguiente contenido:

ACTION!="add|change", GOTO="u2f_end"

# GoTrust Idem Key
KERNEL=="hidraw*", SUBSISTEMA=="hidraw", ATTRS{idVendedor}=="1fc9|32a3", ATTRS{idProducto}=="f143|3201", TAG+="uaccess"

LABEL="u2f_end"

A continuación, reinicie la configuración de reglas UDEV con el comando:

udevadm control --reload-rules

Y ahora podría emparejar convenientemente la clave de cifrado de hardware con la aplicación web myID y luego usar la clave para iniciar sesión en ella.

Aquí están también videotutoriales sobre cómo GoTrust Idem Key.

Seguridad y comodidad

Al igual que Bitwarden, una clave de cifrado de hardware añade seguridad al tiempo que añade comodidad. Bitwarden también es compatible con el inicio de sesión utilizando dicha clave - por lo que es ideal para emparejar esto con él.