关于 FIDO2 key 的安全性

最近想购买一个 yubiKey 类似的设备
迫于 yubiKey 有点贵，加上有些功能用不到，所以准备选择其它品牌
看到了一些中意的型号，但对它们存在安全顾虑
查询了一些相关资料，基本只查到 FIDO2 的大致流程，而关于 Key 的实现原理却寥寥无几

所以，对这些 Key 的安全性（技术上是否可能存在后门）存疑，希望各位提供解答

提前感谢

billlee

2021-07-01 17:01:04 +08:00

yubikey 有人拆过

www.hexview.com/~scl/neo/

外壳没有防拆设计，完全靠那颗安全芯片本身的防拆

后门这事，我觉得人在中国就应该用美国设备，毕竟 cia 没办法来我家

ysc3839

2021-07-01 20:00:42 +08:00

技术原理是人家的私有技术，当然不会公开的，大部分消费电子产品也都不会公开原理的。
至于后门，那当然是有可能了，这个只能靠信任了。

0o0O0o0O0o

2021-07-01 21:36:48 +08:00

我也很好奇为什么连 Google 这些巨头都在一些关乎账户安全的场景（比如高级保护计划）推荐 yubikey，它们是如何信赖 yubico 这样一家公司的闭源产品的，有什么业界的审计措施来确保这一点吗？

jim9606

2021-07-01 22:04:41 +08:00

@0o0O0o0O0o 首先这个由浏览器支持的 FIDO2 标准是 FIDO 联盟制定和维护的，Google 和 Yubico 是联盟两个主要成员。
FIDO2 好歹是开放标准，你可以用别的品牌的硬件 key，只是 Yubikey 是主流选择。

Yubikey4 闭源确实是个问题，不过企业订购的大可以通过 NDA 进行内部审查，一般人只能靠商誉信任了。除非你是完全自己生产（基本不可能做到），你无法避免要去信任一个硬件生产商的。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/786912

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.