关于 使用 YubiKey PIV 功能作为软件系统授权的 USBKey 的可行性的相关问题

2023-09-25 11:29:45 +08:00
 wzw

场景:

方案:

问题:

934 次点击
所在节点    问与答
8 条回复
dallaslu
2023-09-25 12:17:07 +08:00
"...与授权模块和到期日期进行绑定",是另有一个离线的授权文件吗,还是存储在更新服务器上?

"SN/PIN/Management Key 将直接硬写到程序中",如果 key 丢了,要重新打包、重新部署吗?

我有点怀疑仅靠 SN 和 PIN 的方案,可以用软件模拟来绕过。

考虑一下用 PGP ,卡内生成私钥的才是不可复制的。授权时,用开发者的 PGP 对授权的机密数据加密给客户的 Yubikey ,这份 License 可用对应的 Yubikey 离线验证。软件运行或检查更新时,尝试解密验证授权文件。
wzw
2023-09-25 12:33:10 +08:00
@dallaslu
1. "...与授权模块和到期日期进行绑定",是另有一个离线的授权文件吗,还是存储在更新服务器上?
>>> 这个不是文件, 是读取序列号, 然后和程序里面去比对.
2. "SN/PIN/Management Key 将直接硬写到程序中",如果 key 丢了,要重新打包、重新部署吗?
>>> 在机房,正常丢不了吧. 丢了就是重新买一个 Key, 重新买授权咯. 程序里面多内置了一些 Key.
3. 我有点怀疑仅靠 SN 和 PIN 的方案,可以用软件模拟来绕过。
>>> 所以我也特意来问问这个问题, 关键如何绕过我也不知道, 特来这里问问比较了解的人
4. PGP
>>> 我去研究一下, PIN 安全的话, 也挺好用的
cheneydog
2023-09-25 14:06:59 +08:00
把设备和 YubiKey 通信的包抓一下,用软件模拟一个 YubiKey ,是不是就无限复制了?
建议还是得要用非对称加密技术
baobao1270
2023-09-25 15:39:44 +08:00
1. 不知道你的用户群体是国内还是国外,如果是国内,那么用 YubiKey 成本太高了,同时也存在违反密码法的风(禁止使用国外生产的硬件加密产品)
2. PIN 似乎是用于 PIV 内部操作的,个人感觉外部程序不应该直接使用。SN 码容易伪造,也不可靠。
3. 建议使用 PIV 的非对称加密机制来做。
dallaslu
2023-09-25 16:01:52 +08:00
@baobao1270 有替代品,比如 https://item.taobao.com/item.htm?id=664914723920
wzw
2023-09-25 16:14:39 +08:00
@baobao1270 #4 量不多,价格还好,目前还是讨论为主。看来偷懒不是很安全,稳妥
wzw
2023-09-25 16:15:58 +08:00
@cheneydog #3 这方面接触不多,可能需要时间学习下,晚点问问 ChatGPT ,或者你给我关键词,谢谢
wzw
2023-09-25 16:16:43 +08:00
@dallaslu #5 挺难买,经常没货

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/976886

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX