برچسب: UMF

گوگل در حال حاضر کلید Titan خود را به فروشگاه عمومی (البته از طریق لیست منتخب) منتشر کرده است. هنگامی که آنها برای اولین بار محصول خود را اعلام کردند، Yubico، رقیب اصلی خود، استفاده از بلوتوث را فریب داد:

ارائه گوگل شامل یک کلید قابل حمل بلوتوث (BLE) است. در حالیکه Yubico قبلا توسعه یک کلید امنیتی BLE را آغاز کرده بود و به کار استانداردهای BLE U2F کمک کرد، تصمیم گرفتیم محصول را راه اندازی نکنیم زیرا به استانداردهای ما برای امنیت، قابلیت استفاده و دوام نمی رسد. BLE سطح اطمینان امنیتی NFC و USB را فراهم نمی کند و نیاز به باتری و جفت شدن دارد که تجربه کاربر ضعیفی را ارائه می دهد.

این زمان ظهور پس از آشکار شدن یک نقص در پشته بلوتوث، یعنی آسیب پذیری Blueborne [19659004] با این حال، اگر U2F بر روی رمزنگاری کلید عمومی تکیه کند، مهم است که آیا کسی می تواند هر بخشی از تبادل داده را ببیند؟ من فکر کردم که بخشی از نقطه ی U2F بود.

• من نگران یک ISP بد در ارتباط اتصالات HTTPS من نیستم؛ آیا می توانم در مورد یک متجاوز بد زمانی که از U2F بر روی بلوتوث استفاده می کنم نگران باشم؟

• اگر نه، Yubico نگران مصالحه دستگاه U2F خود است، یا آنها فقط پرتاب ترس، عدم قطعیت و شک و تردید (AKA "FUD") در یک محصول رقیب؟