关于 使用 YubiKey PIV 功能作为软件系统授权的 USBKey 的可行性的相关问题

227 天前
 wzw

场景:

方案:

问题:

730 次点击
所在节点    问与答
8 条回复
dallaslu
227 天前
"...与授权模块和到期日期进行绑定",是另有一个离线的授权文件吗,还是存储在更新服务器上?

"SN/PIN/Management Key 将直接硬写到程序中",如果 key 丢了,要重新打包、重新部署吗?

我有点怀疑仅靠 SN 和 PIN 的方案,可以用软件模拟来绕过。

考虑一下用 PGP ,卡内生成私钥的才是不可复制的。授权时,用开发者的 PGP 对授权的机密数据加密给客户的 Yubikey ,这份 License 可用对应的 Yubikey 离线验证。软件运行或检查更新时,尝试解密验证授权文件。
wzw
227 天前
@dallaslu
1. "...与授权模块和到期日期进行绑定",是另有一个离线的授权文件吗,还是存储在更新服务器上?
>>> 这个不是文件, 是读取序列号, 然后和程序里面去比对.
2. "SN/PIN/Management Key 将直接硬写到程序中",如果 key 丢了,要重新打包、重新部署吗?
>>> 在机房,正常丢不了吧. 丢了就是重新买一个 Key, 重新买授权咯. 程序里面多内置了一些 Key.
3. 我有点怀疑仅靠 SN 和 PIN 的方案,可以用软件模拟来绕过。
>>> 所以我也特意来问问这个问题, 关键如何绕过我也不知道, 特来这里问问比较了解的人
4. PGP
>>> 我去研究一下, PIN 安全的话, 也挺好用的
cheneydog
227 天前
把设备和 YubiKey 通信的包抓一下,用软件模拟一个 YubiKey ,是不是就无限复制了?
建议还是得要用非对称加密技术
baobao1270
227 天前
1. 不知道你的用户群体是国内还是国外,如果是国内,那么用 YubiKey 成本太高了,同时也存在违反密码法的风(禁止使用国外生产的硬件加密产品)
2. PIN 似乎是用于 PIV 内部操作的,个人感觉外部程序不应该直接使用。SN 码容易伪造,也不可靠。
3. 建议使用 PIV 的非对称加密机制来做。
dallaslu
227 天前
@baobao1270 有替代品,比如 https://item.taobao.com/item.htm?id=664914723920
wzw
227 天前
@baobao1270 #4 量不多,价格还好,目前还是讨论为主。看来偷懒不是很安全,稳妥
wzw
227 天前
@cheneydog #3 这方面接触不多,可能需要时间学习下,晚点问问 ChatGPT ,或者你给我关键词,谢谢
wzw
227 天前
@dallaslu #5 挺难买,经常没货

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/976886

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX