المواضيع الرائجة
#
Bonk Eco continues to show strength amid $USELESS rally
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
#
Boop.Fun leading the way with a new launchpad on Solana.
بعد أن لعبت مع #YubiHSM لمدة 4 أيام كاملة ، أنا سعيد نوعا ما بالاختيار! 😁 ومع ذلك ، فإنه يقصر أيضا في عدد من الأماكن ، لذلك قد تختلف الأميال المقطوعة (أيضا بعض الأماكن التي احتجت إليها حتى لا أقصر فيها). 🧵
حيث يتألق تماما هو قدراته وأناقته النسبية وسهولة الاستخدام.
على عكس YubiKey حيث تتحدث إلى الجهاز مباشرة ، يتم عرض HSM بشكل عام عبر خادم ويب يتفاعل معه. يتيح لك ذلك استخدام HSM عن بعد (مع مشكلات opsec الشائكة).
يوفر Yubico غلاف CLI يمكنه التحدث بلغة YubiHSM ، وهو أمر رائع لأنه يمكنك البدء على الفور (أنت حقا لا تريد تشغيل البروتوكول الخاص بك هنا). على الجانب السلبي ، إنه ... ليس CLI رفيع المستوى الذي اعتدنا عليه في الوقت الحاضر. لديها الكثير من الديون التقنية والبنادق.
لسوء الحظ ، فإن YubiHSMs ليست شائعة ، لذا فإن مكتبات الواجهة من اللغات الأخرى قريبة من عدم وجودها. يقوم Yubico بعمل python ، لذا إما أن تتدحرج مع ذلك ، أو تعود إلى القشرة ... فقط تذكر مسدسات القدم.
مشكلتي الرئيسية مع مسدسات القدم هي "عفوا ، لقد وقعت على شيء غير صالح". حسنا ، نعم ، عفوا ، لأنك لن تتمكن أبدا من شرح إدخال سجل التدقيق هذا أو إثبات ما وقعته (في الغالب لأنك لن تعرف أو تكون قادرا على إثبات ذلك). وهو ما يقودنا إلى السيئ: التدقيق.
يروج YubiHSM لنفسه أن لديه سجل تدقيق موقع مقاوم للتلاعب. حسنا ، تبين أن الجزء الموقع هو تسويق ، ولم يتم توقيعه.
سجل التدقيق * مرتبط بالتجزئة ، للأسف بدون توقيع ، فهو أيضا عديم الفائدة للتدقيق في وضع عدم الاتصال حيث يمكن تزوير أي سجل وتجزئته.
الطريقة الوحيدة لتدقيق YubiHSM هي الحصول على اتصال مباشر به. هذا لأنه يمكنك إثبات أنك متصل ب Yubico HSM (عبر شهادات موقعة) ، لذلك إذا كنت تثق في Yubico وأجهزة HSM الخاصة بهم ، فعندما تقول إنها في التجزئة H ، فإنك تصدق ذلك. لكنها تفاعلية.
الجانب السلبي الآخر هو أن سجل التدقيق يحتوي فقط على العمليات التي أجراها ، ولكن لا يحتوي على بيانات. هذا أمر مفهوم إلى حد ما ، ولكنه يجعل السجلات أيضا أقل فائدة: تم تكرار البرنامج النصي الخاص بك 10 مرات وتوقيع السلسلة الفارغة؟ حسنا ، هناك 10 فرص للتوقيعات الضارة.
أيضا ، على الأقل في الوقت الحالي ، لم أجد طريقة لإثبات أن مفتاحا معينا * موجودا * على الجهاز. إذا منحت المدقق حق الوصول للتصديق على مفاتيحك ، فعندئذ نعم ، إنه يعمل ، لكنه يبدو خاطئا. بدون ذلك لا يمكنني إلا إثبات أنه * في مرحلة ما كان لدي مفاتيح *.
ألمي الشخصي هو أنني أريد إنشاء تقرير شفافية لمشروعي @dark_dot_bio ، والذي يبدو شبه مستحيل مع YubiHSM.
إذا كان نموذج التهديد الخاص بك هو حماية المفاتيح من الجهات الفاعلة السيئة ، فإن YubiHSM مثالي. إذا كنت تريد إثبات عدم سوء الاستخدام ، على الرغم من الحظ.
بشكل عام ، لا يبدو أن هناك منتجا أفضل في السوق في نطاق سعري يمكنني تحمله بالفعل ، لذلك سيتعين على YubiHSM القيام بذلك ، ولكن أي شخص يبحث في الأمر ، ينصح ، فإن قدرة التدقيق تفترض * الكثير * من الثقة التي كان من الممكن تجنبها ، لم تكن كذلك. فنلندا.
2.39K
الأفضل
المُتصدِّرة
التطبيقات المفضلة