Jürgen 🌗🪐🌌 🇦🇹

#Fedihelp #KeepassXC #Linux

Würde gerne Keepass XC unter Linux (derzeit Fedora 42) mit einem USB Security-Token entsperren.
Verwende einen GoTrust Idem Key, der auch für ID-Austria funktioniert.

Kann wer hierzu was sagen?
* Ist das mit einem nicht-Yubikey grundsätzlich möglich?
* Kann ich das als "User mit BuildFromSource Kompetenz" mit einem GoTrust Idem Key hinbekommen?

Alternativ müsste ich mir (noch) einen Yubikey besorgen, bin da aber skeptisch, weil ich da zu Beginn mal einen hatte der nicht kompativel war (zum Glück konnte ich den retournieren).

Lt. Liste werden die Yubikeys ab Firmware Version 5.7 unterstützt.
https://www.id-austria.gv.at/de/hilfe/hilfe-zu-ida/authentifizierungsfaktoren#fido

* Nutzt wer einen Yubikey für ID-Austria und Linux?
* Haben die "5er" (z.B. YubiKey 5C NFC) sicher mindestens diese Firmware Version drauf? Oder wird das ein Glücksspiel mit bestellen und ggf. retournieren?

Danke euch!

#ID-Austria #Yubikey #SecurityToken #GoTrust #GoTrustIdemKey

Authentifizierungsfaktoren

Mar 16 at 8:17amWeb
Show threadmartinholzer1d ago
@mechanical0815 Hallo, ich verwende den YubiKey 5C NFC FIPS erfolgreich unter Linux mit ID Austria (Debian, LibreWolf). Keepass XC Integration wird angezeigt, wenn der Stick steckt. Konfiguriert hab ich ihn nie damit.
Show threadJürgen 🌗🪐🌌 🇦🇹1d ago

@martinholzer Danke. Den FIPS? Interessant. Der ist nicht mal aufgelistet als kompatibel. Soweit ich weiß muss FIDO certification Level 2 unterstützt werden, da fallen alle FIPS rein.
https://support.yubico.com/s/article/YubiKey-hardware-FIDO2-AAGUIDs

Kenn mich bei den Sicherheitsprotokollen nicht aus, der 5 ohne FIPS unterstützt auch CTAP2.1, der mit FIPS dafür NIST - FIPS 140-2, mit der Firmware 5.7 wird auch FIPS 140-3 unterstützt - aber offenbar ist die Zulassung noch nicht final abgeschlossen.
https://www.yubico.com/blog/yubico-submits-yubikey-5-fips-series-for-fips-140-3-validation/

Irgendwelche Vorteile die den deutlich höheren Preis der 5(C) FIPS rechtfertigen? Sind dann doch etwa 65 % mehr, und wenn man 2 bestellt... 😬

Yubico Support Guest Portal

Show threadmartinholzer1d ago

@mechanical0815 Hallo, ich merke gerade, dass sich hier viel getan hat und der FIPS overkill ist.
Ich verwende den Yubikey seit Mai '23, damals hieß es noch sicher, dass nur der Security Key und die FIPS-Varianten erlaubt sind. Das ist ja nun scheinbar nicht mehr der Fall. Vermutlich, weil der FIDO Level sonst nicht möglich war. Hier ein Blick in die Vergangenheit: https://www.bawag.at/resource/blob/75268/69e244ff65393ec1620d5acc140ac272/20230613-id-austria-fido-data.pdf

Meine funktionierenden FIPS-Keys laufen mit FW 5.4.3.

Da ich etwas mit PKI gespielt habe, war für mich der größte Unterschied, dass die FIPS Keys auf Slot F9 ein offizielles Attestation-Cert hatten: https://developers.yubico.com/PIV/Introduction/PIV_attestation.html

Sonst würde ich mir das Geld für FIPS sparen.

Show threadJürgen 🌗🪐🌌 🇦🇹1d ago
@martinholzer Danke für die hilfreichen Infos. 👍