Log for Ubuntu 台灣社群

google, microsoft, github, facebook, instegram 這些都是我知道支援的

有啊，除非你還在 IE

最近好像很流行 Passkey

WebAuthn

他其實也是 WebAuthn 的一環，只是換了個 flow 就換了個名字

那是 mac 以外的電腦才用光學指紋，然後還各種 driver 特殊且還不能開發 sdk

現在統稱 WebAuthn

你怎麼這麼懂

是跌了多少坑

我就在那個坑內

沒啊
我 ThinkPad 用電容式指紋辨識器

不過對於 AuthenTec 被 Apple 買走這件事我還是很幹

那不就是很少見？為什麼這麼多不 「支援」？技術上不好作？還是硬體普及度跟不上？

對市占率最高的Windows PC來說，生物識別裝置是非必要的，不說組裝電腦，品牌電腦也不常見，因為增加這些硬體就會有額外的成本。微軟也很想把它變成標準配置，但是就跟當初Win11需要TPM+Secure Boot，強硬要求就會被批評是限制使用者，甚至是被利用來侵害使用者的隱私。

對於網站服務營運者來說，增加生物識別認證對網站營運有幫助嘛？能帶來更多訂單？不能嘛，所以為什麼要多花成本去支援呢。到最後就是『別人都做了為何你還沒做』的時候才會支援。

不不不，反對TPM只是不想要 Windows 亂動我的 TPM，我的TPM 要留給 ArchLinux
而且微軟拿到TPM也不會幹啥好事，光是有機會用在DRM我就一個頭兩個大

Secure Boot 也不是完全反對，如果 BIOS 開放進階使用者寫自己的東西進去也非常歡迎

但問題商業綑綁

你可以想像一下Windows 11第一次啟動時要求使用者必須登錄指紋時候各方會有什麼反應😄

應該不會有那種平行宇宙，連Android 都沒有強制生物辨識

微軟想標準化的應該是整個認證flow

做到像手機那樣的體驗，所有應用程式都走系統提供的ABI/API，而不是各走各的

例如啥都沒講直接啟用 bitlocker 加密硬碟的部分嗎

然後某年某月更新後，突然不認TPM，重置整個硬碟後才發現微軟偷偷幫你備份好金鑰

然後開機跟你說BitLocker 毀損請登入 M$ 帳號恢復

理論上是這樣，但是Win11變成一定要登入微軟帳號才能使用（雖然還是有方法可以跳過），所以必須要登錄指紋才能使用的可能性還是存在

TPM + Secure Boot + Biometric authentication = 防止盜版（隱私侵害）全餐😅

這三個防什麼盜版😅
我怕的不是防止盜版，是DRM，正版用戶的受害者

不過這三個在BIOS都還是可以停用
停了給不給安裝/使用系統就是另一件事情了

以微軟的角度是防止盜版，以使用者的角度就是DRM

沒有
是直接跟你要恢復金鑰

我：蛤我哪來的金鑰

OOBE 都會直接要你設 Pin 了

Linux: Disable fTPM

Disable AMD fTPM

可惜我只用來解 luks

CPU本身就能提供足夠的安全性了

再模擬個TPM出來沒意義

Samsung knox
Apple T1 T2

還是說用途不一樣

不一樣

像這次ftpm出問題的是亂數生成

knox 不是 cpu 內的吧

我是只用右邊，剩下都關了

CPU已經有AES和隨機數的指令集了阿

再模擬個TPM出來幹同樣的事幹嘛

喔喔看懂ㄌ

fTPM 主要是卡強制要求 TPM 但是沒有 TPM 的情況吧？
像是 Win11 安裝

TPM 理論上應該要是那種實體晶片才對吧

限制存取？

TPM 我知道是要隔離運算環境跟金鑰存取（RO)

你不知道的那塊也沒實體TPM什麼事了，CPU做得更快

玩過 Yubikey 的金鑰產生器
有夠慢

@RJ_Hsiao https://www.omgubuntu.co.uk/2023/08/kde-plasma-6-wallpaper-competition

支援的太少是數量太少
很少見是指機率上很少
但實際上數量雖少，但都是很常見的軟體有支援
你不要過度解讀餒

別人做了也不見得要支援啊😏

RUNE 1.6-1.63空
止盈：1.43-1.53
止損：1.67

弱弱問一下為何要有硬體金鑰阿？
就我所知用 openssl 這種非對稱金鑰，理論上私鑰保管好應該安全就很好了？
私鑰儲存形式就卡片或感應指紋之類的就再說

加密根目錄時你打算怎載入 openssl 生成的金鑰？

直接載入？

要拿殼保護私鑰，再拿鎖保護殼，再拿OOXX保護鎖

我覺得沒完沒了

保護私鑰避免流出是使用者的責任

聽說有些主機板更新 bios ftpm 會掉？

UEFI轉交控制權過來時什麼都沒有拿什麼讀

也許想法很天真，不過在玩加密幣時慢慢就覺得要保護那一個1024字元的字串與其拿一堆殼不如一開始就自己保護好

$ cat private.key (X

我記得按照規定下有幾個 pcr 本來就會動

如果你用會動的PCR去當鑰匙會掛是正常的

結果沒人討論雲端發票的安全性

那些發票軟體不是都有政府標準了

你想想台灣的資安..........

那個不都綁銀行帳戶嗎

國家標準也沒這麼不堪吧……

app 的 api 除了看完全沒功能？

我不知道所以問一下

我覺得 Moneybook 那種自己造出來的東西
比雲端發票危險多了

怕

電子發票api現在在收保護費了

要人花錢買ISO認證 不擴充自己平台的負載能力

然後每個網站的密碼規則都不一樣，使用者記不住…

第三方可以收集資料拿去做行銷

為什麼一定要密碼

不如搭配硬體金鑰

相較MFA Passwordless對一般人更容易上手

我認識的朋友，他們的密碼都是 1234Abcd 排列組合

大部分使用者不會想額外付費買加強安全性的東西

passpharse 的話考慮到一堆平台都限制密碼長度

也幾乎不可行

也認為自己方便就好

即使那個機制已知是危險的

強密碼如果懶人，搞不好會做成P@ssw0rd

這種密碼

依然能找不少理由

iCloud 內建應該已經有密碼管理器了

Windows 的 Edge 也算有吧

雖然我不喜歡Passkey

目前手機有內建了硬體金鑰相關，但問題也很多

但不能否認這是目前比較可能普及的

也比使用OTP的2FA安全

喔其實還有一個

Passkey

不過它現在會綁裝置

目前2FA我覺得最容易被使用者理解的應該是微軟牌

而且我的 1Password 存了一堆 Passkey

三個數字選一個

但根本沒有網站調用過

要多裝app的我覺得都不樂觀

帳號不開MFA或Passwordless的用戶應該佔大多數

你用Google Auth也是要另外裝

Google 內建的通知也是有一些風險

moneybook的狀況是使用者自己把secret交出去

出事了也是使用者自己要負責 但(

台灣的OpenBanking目前大多只開到L2

能串到L2的平台的背景也得是財團或政府背景

只需要記憶一個密碼管理員的強密碼應該還好吧？

機器中木馬你的私鑰（甚至是解密私鑰的密碼）就掰了
用 TPM 好像就可以避免私鑰被直接複製走的問題

木馬我記得它能做到改了密碼幾秒後一樣被異常登入

我第一次看到TPM反而是在商業OS （微軟W11）

資安宣導：如果你的 AMD64 架構 CentOS 7 系統的 /usr/lib64/libpam.so.0.83.1 文件 SHA-256 雜湊值為 a9318c61dd805bc87aafaf0f08bf6c28cb056a69b66727e4ab70180f4f255c35 ，恭喜你你的主機中木馬了(ry

詳細細節將視情況發布

PS. 這個 rpm --verify 命令是查不到的，RPM 軟體管理系統資料庫內的檔案雜湊值應該也被改了

嘛，因为密钥是被TPM保管的所以不容易被直接复制，而且用TPM可以来搞measured boot来防止系统被篡改

論 TPM 本身有漏洞的情境（略

我在想，TPM能不能做到類似手機HCE這種環境？

不过TPM本身与host的通信可能不是加密，而且一般的机器也依旧是CPU解密，也就是说操作系统还是可以看到密钥的

要是你内存被人扫描了也就寄了

真的要大量做密碼學演算可能還是要買 HSM
TPM 算是低配版的 HSM 嗎？

但手機大部分情向下能保證 kernel 系統不搞事，這個在 pc 的可行性？

这倒是可以

Ubuntu Core(X)

安全启动+仅执行被签名的可信任程序

如果說是 XBOX 之類系統不讓你動的也就算了

我看了TPM的功能之後覺得跟Apple 的硬體加密有點像

windows差不多是人人都想往 kernel 插一腳

所以才會往這種方向去想

Android上可能你kernel都看不到密钥，密钥的保管以及加解密的过程是硬件进行的

https://source.android.com/docs/security/features/encryption/hw-wrapped-keys?hl=zh-tw

TPM本身不会加速加密的运算，顶多给你个随机数生成器之类的（

一些UOS的特供版机器就是这样，只有被签名的程序才能被执行

大号砖头

這個可以保證 kernel 看不到真的密鑰
但能保證分發的網站看到的 kernel 是真的 kernel 嗎？

windows 的話，搞不好你呼叫到的 kernel function 都不是你想像中那個

一般Android的Bootloader是被锁定的吧

只有厂家的系统才能被引导

是阿，所以說這在手機沒啥問題

Windows可能也可以做到，反正不让加载第三方内核模块

但 PC 就...

Linux也行，仅加载被签名的内核模块

然后主板固件的安全启动给卡死

特別是 windows 一堆啥防毒反作弊之類的在亂搞

當然你可以說通通 lock down 誰都不要玩

可是如果啥遊戲開不了，為啥想用 windows pc？

是这样，而且有些游戏的反作弊是深入到内核的

但针对特定的生产环境来加固还是可以的

那是 Microsoft 簽的

内核模块也是Microsoft签的？

而且

security boot 相關才是

这个是，而且这个签名和签Windows的不同（

FIDO Alliance

反正最後 security boot 變成 Microsoft 的遊樂場，搞死其它系統使用者

金融業也有引入FIDO。

FIDO 有效解決騙密碼或是騙登入問題沒錯啊，畢竟綁網域，換了個網域彈...就是空的

很多人不會看網址。

所以。

所以讓系統負責看，解決使用者不看網址的問題

至於初次登入怎麼搞避免被亂入，可能就像現在這樣，辦戶頭時銀行行員盯著你弄？

只要現場 setup 應該就不會有 setup 密碼被騙走的問題吧...應該？

學習金管會 全部限制臨櫃。

全民擠三點半

反正也是一次性

除非手機噴進水溝裡啥的