Security

如何重新配置 Mt. Gox Yubikey?

  • November 26, 2016

按照此處的說明(建議我使用ykpersgui 版本)後,我發現 Mt. Gox Yubikey 受“配置保護訪問程式碼”保護。

手冊

保護密鑰和配置數據

鑑於 AES 加密算法的對稱性,Yubikey 的安全性依賴於 AES 密鑰在密鑰和驗證 OTP 的伺服器中都受到邏輯和物理保護。

配置數據通過配置 API 更新,可通過 USB 介面訪問。為防止未經授權的更新,可以通過 48 位訪問程式碼保護配置。如果使用,對所有組合的詳盡搜尋通常需要大約 100,000 年才能完成。此外,Yubikey的配置數據是只寫的,即配置數據和密鑰只能寫不能讀。這意味著未經授權的配置更新是一種破壞行為,而不是安全威脅。

配置數據儲存在與微控制器集成的非易失性儲存器中。潛在的攻擊是物理探測晶片或分析硬體行為,以潛在地獲得所儲存機密的全部或部分知識。然而,這樣的攻擊需要徹底破壞 Yubikey,包括破壞微控制器晶片封裝。此外,需要非常先進的設備來探測晶片內部。考慮到此類攻擊所涉及的工作量和成本,這不被視為威脅,因為只有一個設備會被破壞。

Yubikey 給我寫信:

萬一您忘記了配置保護碼或在日誌文件中沒有找到,則無法再次重新配置 YubiKey 插槽。實施此功能是為了加強安全性。

此外,他寫道:

在手冊的上下文中,“未經授權的配置更新”將更改未受保護的 YubiKey 上的配置設置。由於您已經擁有訪問程式碼,因此您無法執行此類更新。

但是應該仍然可以“破壞” Mt. Gox Yubikey,不是嗎?如果不是,為什麼?如果是這樣,怎麼做?

謝謝

同樣奇怪的是,當我嘗試在 forum.yubico.com 創建一個帳戶或在demo.yubico.com測試我的 Yubikey 時,他們拒絕了我的 OTP。Yubico 論壇的註冊顯示我的 OTP 不能包含非字母數字字元,並且有時包含句點。[更新:這最終是因為我為 Yubikey 使用了 Dvorak 鍵盤佈局。我已經更改了它,現在我的 OTP 可以在這些網站上使用。]

更新#2:我發現了這個:https ://github.com/nezza/yubicrack 但是必須有比對程式碼進行暴力搜尋更快的方法。我真的很想知道為什麼刷 Yubikey 這麼難?是不是讓別人無法有效地“失去”或“被盜”?

正如在一個更新的、高度相關的問題中所回答的那樣:您現在可以從https://bitcointalk.org/index.php?topic=631044.0獲取洩露的密鑰

Mt. Gox 使用訪問程式碼鎖定他們的 Yubikey。沒有程式碼,您無法對它們進行重新程式。如果您願意等待幾個月,則可以蠻力進行

引用自:https://bitcoin.stackexchange.com/questions/11762