BSI
Follow

Passwörter sind einfach gut? Nur mit sicherer Zwei-Faktor-Authentifikation!

Das BSI hat ein FIDO U2F-Token implementiert, welches jetzt von der FIDO-Allianz als erstes auf der höchsten Sicherheitsstufe L3+ zertifiziert wurde. Ursprünglich wollten wir so die Prüfvorgaben erproben, nun geben wir Code und Zertifizierungsunterlagen als Open Source frei. Wir freuen uns auf die gemeinsame Weiterentwicklung und darauf aufbauende sichere Produkte.

github.com/BSI-Bund/de.fac2

· · 7 · 44 · 62
Thomas

@bsi
Sehr gut, vielen Dank! Vielleicht könntet ihr bei Gelegenheit noch von Microsoft GitHub zu einer freien Alternative in Europa (zB Codeberg) umziehen, um es perfekt zu machen.

1
r3tr0

@tpheine @bsi Dem kam ich nur zustimmen. Mit guten Beispiel voran.

0
0mega ☠ [hz]
@BSI Das kommt unerwartet. Nice!
0
tsia

@bsi habe erst "Java Applet" gelesen und wollte kurz weinen :P

Aber fühlt sich trotzdem etwas gruselig an dass auf einem Secure Element sowas wie Java läuft

1+
alsternerd 🤷🏼‍♀️

@tsia @bsi War das nicht bei den Bibliotheken für den neuen Personalausweis nicht auch schon Java?

ich hoffe ja immer, dass dann nicht die Prüfung auf die Java-Version bei sowas wie 17-ea abbricht oder ein openjdk-8-jre vorrausgesetzt wird. Da wirds gruselig.

0
Barit

@tsia @bsi
Die ganze Crypto läuft letztlich auf dem Cryptoprozessor der Chipkarte. Java(-card) wird hier nur für die Kommunikation mit der Außenwelt (APDU-Handling) und den (Fido-)Protokoll-Abläufen verwendet.

1
tsia

@barit @bsi das dachte ich mir schon. Hat nur trotzdem nen Gruseligen Beigeschmack bei den ganzen Java Monstern die halt so auf "richtigen" Computern laufen und Stunden zum Starten brauchen und Gigabyte-Weise RAM futtern. Klar ist das auf so ner Karte was anderes und nicht vergleichbar

0
lars :verify:

@bsi
Perso mit als u2f token wäre was 😀

1
copyrights

@lars @bsi Du meinst dies hier in offizielle? ijon.me/2020/04/16/versteckte-

1
lars :verify:

@copyrights
Äh cool. 👀 Nichts davon gewusst. Jetzt bin ich neugierig. 😁
@bsi

0
Jürgen

@bsi Grundgütiger - da hatte ich doch glatt vergessen, wie sehr das ansehen von #bsi bei mir bereits gelitten hatte und aus reflex auf like gedrückt. #mannmannmann - echt traurig... Open Source - ja? ich habe mir die Freiheit genommen mal ins Repo zu schauen. Habt ihr gedacht, nach #lucaApp haben sich die Schmerzschwellen so verschoben? Mit #closedsource G&D Bibliotheken ist es keine #opensource ! zum Vergleich: kickstarter.com/projects/conor

1
CoreSec

@elbosso @bsi
Ich bin geneigt dem zuzustimmen...

#solokey #oss #oshw

0
51mba

@bsi Hallo lieber BSI. Ihr entwickelt euch in eine gute Richtung! Für einen Laien, wie mich: was ist Level 3, wo kommt es her und was ist der Vorteil davon ?

1
Barit

@51mba @bsi
Die Fido-Alliance definiert neben den Protokollen (U2F, UAF) auch verschiedene Sicherheitslevel. Level 3+ ist das höchste Level und verlangt u.a. die Verwendung eines CC-zertifizierten Secure Elements oder eines TPM und strenge Kryptovorgaben. Die Sicherheit des gesamten Tokens (HW & SW) muss von einem unabhängigen Prüflabor getestet und bestätigt werden. Mehr Infos gibt's hier:
fidoalliance.org/certification

0
Barit

@bsi
Hier noch ein aktueller Blogeintrag der FIDO-Alliance zum ersten L3+ Token

fidoalliance.org/authenticator

0
Sign in to participate in the conversation
social.bund.de

Dies ist der Mastodon-Server des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI).

Resources

Developers

What is Mastodon?

social.bund.de

More…