Sind lokale Anwendungen mit Fido2-Lösungen sinnvoll abzusichern?

Du verrennst dich gerade in etwas.

Ich verstehe nach wie vor nicht, wie das funktionieren soll!

Was letztlich benötigt wird ist ein String, mit dem die Daten verschlüsselt werden sollen.

Was der Fido-Stick liefert, ist eine Antwort auf eine Server-Anfrage, die mithilfe des im Stick gespeicherten Zertifikates erstellt wird.

Was hilft uns diese Antwort? Entscheiden, ob die Antwort passt oder nicht müsste dann ja wieder die Anwendung, die die Antwort enthält. Wenn der Anwender aber lokalen Zugriff auf diese Anwendung hat, dann ist das doch keine Sicherheit!?!? Derzeit ist das einzugebende Passowort "lokal einfach nicht da", bevor es eingegeben wird. Also hilft auch eine Manipulation der Anwendung nicht weiter. Im FIDO-Fall muss der Verschlüsselungs-Schlüssel lokal vorhanden sein, darf aber nur benutzt werden, wenn der Stick die richtige Antwort gibt. Wie sollte sichergestellt werden, dass er nicht auch ohne Antwort zum entschlüsseln benutzt wird?

Beispiel: Ich habe eine Wohnungstür und einen Schlüssel dazu. Der Schlüssel hängt an einem Haken vor der Wohnungstür. Von diesem darf er aber nur geholt werden, wenn der Interessent das richtige Codewort nennt. Wie soll sichergestellt werden, dass der Zugangswillige die Installation vor der Tür nicht so kompromittert, dass er den Schlüssel auch dann nutzen kann, wenn er nicht das richtige Codewort nennt? Vor der Tür ist nichts sicher...

Sehe ich den Wald vor lauter Bäumen nicht oder wie soll das Ganze funktionieren? Wenn die Anwendung lokal ist, ist sie im Zugriff des Angreifers und damit unsicher.

Im Beispiel ist der Zugang nur sicher, wenn der Schlüssel eben NICHT vor der Tür hängt, sondern der Zugangswillige ihn selbst mitbringt (also das Passwort eintippt, das lokal nicht vorhanden ist). Also müsste der Stick den Schlüssel liefern (rausgeben), der nötig ist. Wenn er aber aus dem Stick rauskommt, dann kann er mißbraucht werden. Dann könnte ich ihngenausogut in einer Datei auf einem Datenstick halten...

Wir wollen dich nicht weiter nerven, Olaf, daher verschiebe ich das Thema. Ohne Java-Api hat das Thema ja eh für Hibiscus wenig Nährwert.

Mich interessiert weiterhin, wieso eine Tastatur-Anmeldung eurer Meinung nach besser sein soll als eine Anmeldung mit der "Fido-Technik". Insbesondere, wenn weiter ein Crypto-Passwort abgefragt werden kann und Fido zur Identifizierung benutzt wird. Wenn ein Angreifer im System sitzt, ist er halt schon drin. Um im msa-Bild zu bleiben: Er ist schon hinter der Tür.

Die Anmeldung mit einer Hardware wäre prinzipiell natürlich besser als die Eingabe eines Passwortes. Wobei man hier nicht von Anmeldung sprechen kann. Es ist eben keine Anmeldung sondern eine Verschlüsselung/Entschlüsselung. Um im Vergleich mit der Haustür zu bleiben.

Anmeldung heisst: Hinter der Tür steht ein Türsteher. Er macht die Tür nur auf, wenn man das richtige Passwort kennt. Dazu muss aber vor und hinter der Tür streng getrennt - aka auf verschiedenen Systemen sein. Auf einem lokalen Rechner ist das aber nicht der Fall. Wenn der Angreifer auf dem Rechner ist, schaut er quasi von oben auf die Kulisse und kann einfach von oben in den Raum greifen. Ob da eine Tür ist oder nicht, spielt keine Rolle. Die Daten sind im Klartext und unverschlüsselt auf der Festplatte. Ich kann sie einfach kopieren.

Verschlüsselung heisst: Egal ob der Zutritt mit einem Passwort oder einem Hardware-Schlüssel erfolgt. Ohne dieses/diesen ist der Raum dahinter nur Datensalat. Der Raum existiert ohne Passwort nicht. Ein Angreifer braucht - auch wenn er lokal auf dem Rechner ist, den Zugangscode. Sonst hilft ihm auch kein Zugriff von oben auf den Raum. Denn der ist verschlüsselt.

FIDO2 ist nun aber für Anmeldung gedacht. Und nicht für Verschlüsselung. Es geht hier also gar nicht darum, ob Tastatur oder Hardware-Key besser als Quelle bzw. Eingabeverfahren für das Passwort geeignet ist. Stattdessen geht es darum, ob man damit Daten verschlüsseln kann oder nicht.

Wenn der FIDO-Stick als HSM genutzt werden kann und es dafür eine Java-API gibt, dann kann er auch in Hibiscus genutzt werden.

Lokal ist "Anmeldung" aber nicht möglich. Das versuchte ich mit meinem Posting klar zu machen. Auch wenn man augenscheinlich einen Logindialog lokal im Programm hat. Es ist keine Anmeldung sondern eine Entschlüsselung.
Anmeldung macht lokal prinzip-bedingt keinen Sinn. msa hatte das auch schon versucht, klar zu machen.
Lokale Anmeldung bedeutet: Ich hab vorn eine Tür mit Schlüssel während hinten steht die Terassentür offen.

Unbestritten, das versuche ich ja die ganze Zeit zu bestätigen. Wir streiten uns offensichtlich um Begriffe. Dann geht es halt um den "Login". Dass die Terassentür nach einem erfolgreichen Login offen steht, spricht ja nicht gegen Fido2-Unterstützung. Wir können es auch gerne "Sichtschutz" nennen. Praktisch gesehen: Du steckst den Stick, deine Anwendung erkennt: Person x, du gibst das Passwort ein und kannst dich einloggen. Das Haus bliebe das gleiche, die Hinter-Türen auch. Lediglich die Tür wäre etwas bunter...

Das ist der Punkt. Die Sicherheit musst du im System selbst erzeugen, dazu wäre Fido2 aber auch geeignet, sobald du ein Autorisierungssystem hast. Dass man dann den Stick auch für seine Anwendungen nutzen will, finde ich legitim. Die Sicherheit der Anwendung selbst wird nicht besser dadurch.
muss nicht so bleiben, man könnte zusätzlich eine Laufzeit-Verschlüsselung in Abhängigkeit zur Anmeldung einbauen.
Und würde sich mit der Verbreitung des Verfahrens auch die Verfügbarkeit von einfach nutzbaren Hardware-Verschlüsselungen verbreiten, könnte man hier weiter denken. Aber das sind andere Baustellen.

Der liefert noch nicht mal etwas, was man dazu verwenden könnte.

Ja. Es geht aber nicht darum, den Anwender zu erkennen. Sondern darum, die Daten wirksam zu schützen wenn es nicht der richtige Anwender ist.

Ich versuche mal einen anderen Vergleich: Im Zug hängt ein Schild, dass die Fahrgäste ihre Fahrkarte jetzt bitte selbst kontrollieren sollen. Einen Fahrkarten-Kontrolleur gibt es nicht mehr. Der Schwarzfahrer steigt wieder aus und sagt: "Mist, jetzt hab ich mich selbst beim Schwarzfahren erwischt".

Danke msa für die Erläuterungen.