Bernhard Reiter reiter@fsfeurope.org, Fri, 29 Nov 2013 14:32:33 +0100:
Die Diskussion beim yubikey Vortrag in Berlin diesen Monat ergab, dass uns nicht klar war, warum hier kein symmetrisches Verschlüsselungsverfahren eingesetzt wird, insofern wäre ein OpenPGP "key" sicherlich besser.
Darf ich da nochmal nach Details fragen? Mir ist gerade völlig unklar, wo der Yubikey ein symmetrisches Verschlüsselungsverfahren einsetzen würde. Das klingt für mich gerade etwa so, als würdest du belgische Hot Dogs dafür kritisieren, dass sie keine symmetrische Kryptografie benutzen.
Der Yubikey besteht aus einem Keygenerator auf Hash-Basis, in den ein nicht auslesbares Secret als Seed geschrieben wird. Insofern handelt es sich nicht tatsächlich um ein vollwertiges One Time Pad.
Daneben gibt es eine Funktion, die Challenge-Response-Authentifizierung erlaubt. Generell basiert diese wiederum entweder auf asymmetrischer Verschlüsselung oder, wie im Falle des Yubikey, auf Hash-Verfahren. Ersteres hat Vorteile beim Schlüsselmanagement, dafür ist letzteres hardwareseitig viel einfacher zu implementieren - besonders mit den Komponenten, die aufgrund der oben genannten Funktion im Yubikey schon vorhanden sind.
Symmetrische Kryptografie findet in beiden Funktionen des Yubikey keinen Platz. Auf asymmetrische Funktionen wurde schlicht und ergreifend aus Kostengründen verzichtet - die Primäre Funktion des Sticks ist ohnehin das "One-Time-Pad", die zweitklassige Challenge-Response Funktion nur eine zusätzliche Dreingabe.
So was, wie der CryptoStick oder GnuK http://blog.asmw.org/2013/09/11/gnuk-openpgp-2-0-token/ http://www.seeedstudio.com/depot/fst01-with-white-enclosure-p-1279.html http://www.seeedstudio.com/wiki/FST-01
^^ Das wäre wohl eher die USB Variante der derzeitigen Fellowship Card. Die erfüllt natürlich einen anderen Zweck, als der Yubikey. Zum Login z.B. bei Fellowship-Services ist sie weniger praktikabel, dafür erlaubt sie das Signieren von Nachrichten. Zwar erlauben die Karte bzw. der PGP-Stick theoretisch vollwertige Challenge-Response Authentifizierung an Onlineservices, in der Praxis fehlen aber standardisierte Verfahren, um so etwas z.B. im Webbrowser durchzuführen - geschweige denn von einem Internet-Cafe aus.