กรณีการใช้งาน PIV บน iOS: การใช้ YubiKey เป็นสมาร์ทการ์ดบน iOS

ในบทความนี้พูดถึงแนวคิดของการใช้ YubiKey เป็นสมาร์ทการ์ดบน iOS ขณะนี้เราได้สรุปแนวคิดโดยรวมแล้ว เราต้องการขยายโดยการสำรวจกรณีการใช้งานที่ปลดล็อคแล้ว สำหรับการยืนยันตัวตนด้วยสมาร์ทการ์ด การสร้างลายเซ็นดิจิทัล และการถอดรหัสข้อความและเอกสารบน iPhone และ iPad ของ Apple

ใบรับรองและสมาร์ทการ์ดมีมานานหลายทศวรรษผ่านโซลูชันฮาร์ดแวร์และซอฟต์แวร์ที่หลากหลายสำหรับเดสก์ท็อป แต่ตอนนี้เราได้เห็นการเปลี่ยนแปลงครั้งใหญ่ไปยังอุปกรณ์มือถือเนื่องจากทุกคนที่มีอุปกรณ์ iOS และ YubiKey สามารถใช้เทคโนโลยีการเข้ารหัสที่มีประสิทธิภาพเหล่านี้ได้

ในบล็อกนี้ เราจะเปิดเผยถึงแรงผลักดันที่อยู่เบื้องหลังระบบนิเวศที่กำลังพัฒนาซึ่งช่วยปลดล็อคกรณีการใช้งานสมาร์ทการ์ด PIV บนอุปกรณ์มือถือ นอกจากนี้เรายังจะอธิบายกรณีการใช้งานสำหรับการตรวจสอบความถูกต้อง ลายเซ็นดิจิทัล และการถอดรหัส

ระบบนิเวศที่กำลังพัฒนา

4 องค์ประกอบหลักที่จำเป็นสำหรับการโต้ตอบกับสมาร์ทการ์ดบนอุปกรณ์ iOS:

1. การสนับสนุนดั้งเดิมของ Apple สำหรับสมาร์ทการ์ดบน iPhone และ iPad ที่ใช้ iOS / iPadOS 15
2. แอปพลิเคชัน PIV Middleware เช่น แอปพลิเคชัน Yubico Authenticator เวอร์ชันสำหรับ iOS
3. บัตรสมาร์ทการ์ดที่รองรับ PIV เช่น YubiKey 5 series หรือ YubiKey FIPS series ที่รองรับข้อกำหนดใบรับรองที่สูงขึ้น
4. ข้อมูลประจำตัว PIV บน YubiKey

ลองมาทบทวนแต่ละองค์ประกอบและบทบาทของพวกเขาในการปลดล็อกกรณีการใช้งานสมาร์ทการ์ดทั่วไปที่มีอยู่บนเดสก์ท็อปก่อนหน้านี้เท่านั้น

1. การรองรับแบบดั้งเดิมของ Apple สำหรับสมาร์ทการ์ดและ Token ถาวร

การรองรับสมาร์ทการ์ดแบบดั้งเดิมของ Apple ช่วยให้สมาร์ทการ์ดที่เข้ากันได้กับ PIV สามารถโต้ตอบกับ iPhone โดยไม่ต้องใช้เครื่องอ่านฮาร์ดแวร์หรือซอฟต์แวร์เพิ่มเติม เริ่มจาก iOS 14 ผู้ใช้มือถือสามารถเข้าถึงใบรับรอง คีย์ และข้อมูลประจำตัวที่เก็บไว้ในสมาร์ทการ์ดราวกับเป็นส่วนหนึ่งของพวงกุญแจ iOS ซึ่งหมายความว่าผู้ใช้สามารถเก็บ Voucher (ใบรับรอง + คีย์ส่วนตัวที่เกี่ยวข้อง) เป็นสมาร์ทการ์ดบน YubiKey ได้อย่างปลอดภัยโดยไม่ต้องส่งออกคีย์ส่วนตัวไปยังอุปกรณ์ iOS

ด้วยการรองรับเพิ่มเติมสำหรับ iOS CryptoTokenKit นักพัฒนาสามารถสร้างโซลูชันที่ช่วยให้ผู้ใช้สามารถโต้ตอบกับโมดูล PIV ของ YubiKey ผ่าน NFC หรือ Lightning Connector ใช้เบราว์เซอร์ Safari เพื่อรับรองความถูกต้องตามใบรับรอง ลงชื่ออีเมลขาออกด้วยแอปพลิเคชันอีเมล iOS ดั้งเดิม หรือถอดรหัสข้อความหรือเอกสารอีเมล

ทำไมสิ่งนี้ถึงสำคัญนัก ก่อน iOS 14 การตรวจสอบความถูกต้องตามใบรับรองลายเซ็นดิจิทัล หรือการถอดรหัสทำได้โดยการนำเข้าข้อมูลประจำตัวทั้งหมด (ใบรับรอง + คีย์ส่วนตัว) ไปยังอุปกรณ์ iOS เท่านั้น เว้นแต่ว่าข้อมูลประจำตัวของคุณจะถูกสร้างขึ้น และเก็บไว้ในพื้นที่ปลอดภัยของอุปกรณ์ มีวิธีการดึงและส่งออกคีย์ส่วนตัวจากอุปกรณ์เสมอ  ดังนั้น ข้อมูลประจำตัวอาจถูกคุกคาม

2. แอป Yubico Authenticator iOS

Yubico Authenticator สำหรับ iOS เป็นแอปพลิเคชันตรวจสอบสิทธิ์ที่เพิ่มระดับความปลอดภัยสำหรับผู้ใช้มือถือและเดสก์ท็อป แอปพลิเคชัน Yubico Authenticator สำหรับ iOS ช่วยให้ผู้ใช้สามารถโต้ตอบกับใบรับรอง X.509 ที่เก็บไว้ในโมดูล PIV ของ YubiKey ผ่านทางขั้วต่อ Lightning หรือ NFC เมื่อคุณใช้ YubiKey เป็นสมาร์ทการ์ด แอปพลิเคชัน YubiKey Authenticator เป็นเครื่องมือสำคัญในการนำเสนอ 2 ฟังก์ชัน:

1. มันจะให้การโต้ตอบของผู้ใช้ที่ใช้งานง่ายเพื่อแยกส่วนสาธารณะของใบรับรองบน YubiKey และใส่ไว้ใน iOS keychain เพื่อให้ใบรับรองพร้อมใช้งานกับแอปพลิเคชันเนทีฟใดๆ เช่นเบราว์เซอร์ Safari, แอป Mail หรือแอปพลิเคชันของบุคคลที่สาม แอปพลิเคชัน Yubico Authenticator ใช้การรองรับล่าสุดของ iOS สำหรับ Token ถาวร (ปัจจัยข้างต้นข้อ 1) เพื่อให้ผู้ใช้สามารถเข้าถึงใบรับรอง คีย์ และข้อมูลประจำตัวที่เก็บไว้ในโมดูล PIV ของ YubiKey ราวกับเป็นส่วนหนึ่งของ iOS keychain ทั้งหมดโดยไม่กระทบต่อคีย์ส่วนตัว
2. มันโต้ตอบกับ YubiKey ผ่าน Lightning หรือ NFC ในระหว่างการตรวจสอบสิทธิ์ของงลายเซ็นหรือการถอดรหัส นี่เป็นปัจจัยที่ 2 ในการป้อน PIV PIN เพื่อให้สามารถโต้ตอบกับคีย์ส่วนตัวในระหว่างการยืนยันตัวตน

สำหรับกรณีการใช้งานด้านล่าง เราใช้แอปพลิเคชัน Yubico Authenticator เพื่อโต้ตอบกับ YubiKey เพื่อตรวจสอบความถูกต้อง ลายเซ็นอีเมล และถอดรหัส หากคุณต้องการสร้างโซลูชัน PIV มิดเดิลแวร์ของคุณเองคุณสามารถค้นหาซอร์สโค้ดได้ที่ GitHu

3. คีย์ YubiKey 5 series เป็นสมาร์ทการ์ด PIV

คีย์ YubiKey 5 Series เหมาะอย่างยิ่งสำหรับสมาร์ทการ์ด เนื่องจากมีความปลอดภัยที่ได้รับการรองรับจากฮาร์ดแวร์และข้อมูลที่รับรองแบบพกพา รองรับมาตรฐาน PIV และสามารถสื่อสารทางกายภาพกับอุปกรณ์ Apple ใด ๆ ผ่านทางตัวเชื่อมต่อ Lightning หรือ NFC Wireless ในโมดูล PIV ของ YubiKey คุณสามารถเก็บใบรับรองดิจิทัลหลายชุดไว้ในช่องต่าง ๆ สำหรับกรณีการใช้งานที่หลากหลายและเราจะสาธิตผ่านการรับรองความถูกต้องของลายเซ็นดิจิทัลและการถอดรหัสด้านล่าง ช่องใส่ PIV แต่ละช่องในโมดูลสมาร์ทการ์ด YubiKey สามารถถือใบรับรอง X.509 พร้อมกับคีย์ส่วนตัวได้

สำหรับข้อกำหนดการรับประกันที่สูงขึ้น เช่น ใบรับรอง PIV ที่ได้รับจากหน่วยงานรัฐบาลสหรัฐฯ และผู้รับเหมา คีย์ YubiKey 5 FIPS series มีฟังก์ชันเดียวกัน แต่ได้รับการตรวจสอบโดย FIPS 140-2 หลังจากออกข้อมูลรับรอง PIV ที่ได้รับบน FIPS Series YubiKey กรณีการใช้งานและการโต้ตอบจะเหมือนกับ YubiKey 5 Series

4. ข้อมูลประจำตัว PIV ที่ได้รับ

ข้อมูลประจำตัว PIV

ข้อมูลรับรองการยืนยันตัวตนส่วนบุคคล (PIV) มีใบรับรอง คู่คีย์ หมายเลขพิน ไบโอเมตริกซ์ และตัวระบุที่ไม่ซ้ำกันอื่น ๆ

ข้อมูลประจำตัว PIV มอบการรับประกันระดับสูง เนื่องจากข้อมูลประจำตัวจะออกโดยผู้ให้บริการที่เชื่อถือได้เฉพาะบุคคลที่ไดรับการยืนยันตัวตนด้วยตนเอง ข้อมูลประจำตัว PIV สามารถออกโดยองค์กรใด ๆ โดยใช้ผลิตภัณฑ์เชิงพาณิชย์หรือโอเพ่นซอร์สที่หลากหลายและมักจะรวมถึงใบรับรอง X.509 และคู่คีย์มีให้กับสมาร์ทการ์ดที่รองรับ PIV

ข้อมูลประจำตัว PIV ที่ได้รับ

ข้อมูลรับรองที่ได้รับ คือ ข้อมูลรับรอง PIV อื่นที่ได้มาจากสมาร์ทการ์ดการยืนยันตัวตนส่วนบุคคล (PIV) ที่สอดคล้องกับมาตรฐาน PIV ที่ NIST

จนถึงปัจจุบัน ข้อมูลประจำตัวที่ได้รับเหล่านี้มักเป็นใบรับรอง PKI ที่จัดเก็บบนอุปกรณ์มือถือ แต่สิ่งนี้อาจนำมาซึ่งปัญหาด้านความปลอดภัยเมื่อเก็บไว้ใน non-GFE (อุปกรณ์ที่จัดหาโดยรัฐบาล) ที่ไม่ได้รับการจัดการหรือแก้ไขอย่างแข็งขัน

เพื่อแก้ไขปัญหาดังกล่าวข้างต้น สถาบันมาตรฐานและเทคโนโลยีแห่งชาติของสหรัฐอเมริกา (NIST) ได้จัดทำแนวทางในการออกใบรับรอง PIV ในสิ่งพิมพ์พิเศษ 800-157 การอนุมัติข้อมูลประจำตัว PIV ที่ได้รับหมายความว่าขณะนี้สามารถกำหนดค่าข้อมูลประจำตัวเหล่านี้และคีย์ส่วนตัวที่เกี่ยวข้องในองค์ประกอบความปลอดภัยที่เข้ากันได้กับ PIV สำหรับอุปกรณ์ตรวจสอบ FIPS 140-2 เช่น ชุด FIPS YubiKey

IPS Series YubiKey เป็นคีย์ YubiKey 5 Series ที่มีคุณสมบัติ PIV เหมือนกัน แต่ได้รับการตรวจสอบโดย FIPS 140-2 ซึ่งเป็นไปตามแนวทางของ NIST SP800-63B เพื่อรับรองความถูกต้องสูงสุด Level 3 (AAL3) ชุด FIPS YubiKey ถูกกำหนดโดยหน่วยงานรัฐบาลสหรัฐและผู้รับเหมาในการออกใบรับรอง PIV เท่านั้น

โดยสรุปแล้ว ใบรับรอง PIV ส่วนใหญ่ที่ใช้ในปัจจุบันออกโดยหน่วยงานรัฐบาลสหรัฐฯ อนุญาตให้มีรูปแบบที่แตกต่างกันของข้อมูลประจำตัว PIV เป็นครั้งแรกที่พนักงานและผู้รับเหมาสามารถเข้าถึงการรับรองความปลอดภัยบนอุปกรณ์มือถือที่ non-GFE

ตามมาตรฐานนี้และการยอมรับของ NIST แอปพลิเคชันระดับองค์กรและธุรกิจกำลังสร้างโครงสร้างพื้นฐานคีย์สาธารณะออกใบรับรอง และเปิดใช้งานการรับรอง PIV สำหรับพนักงานและลูกค้าของพวกเขาซึ่งเป็นตัวเลือก MFA ที่ได้รับการพิสูจน์ และได้รับการยอมรับ

แยกกรณีการใช้งาน

สถานการณ์สมมุติของผู้ใช้งานเกือบทั้งหมดที่ใช้ YubiKey เป็นสมาร์ทการ์ดบน iOS ถูกจัดอยู่ใน 1 ใน 3 หมวด ได้แก่ การตรวจสอบสิทธิ์ยืนยันตัวตน ลายเซ็นดิจิทัล หรือการเข้ารหัส/ถอดรหัส ลองเจาะลึกลงไปในเคสการใช้งานในแต่ละประเภท

1. การตรวจสอบสิทธิ์ยืนยันตัวตน

การตรวจสอบสิทธิ์ PIV โดยใช้บัตรสมาร์ทการ์ดที่ใช้ใบรับรองเป็นหนึ่งในการรับรองที่เชื่อถือได้และได้รับการพิสูจน์แล้วมากที่สุดมานานกว่า 20 ปี เรื่องราวของผู้ใช้เดสก์ท็อปเป็นเช่นนี้จนถึงปัจจุบัน

ด้วยการผสานรวมสมาร์ทการ์ดที่รองรับ PIV ล่าสุดบน iOS และ YubiKeys ที่ได้รับการรับรองจาก FIPS 140-2 ทำให้ขณะนี้มีการปลดล็อคการรับรอง PIV แบบหลายปัจจัยสำหรับผู้ใช้ iOS บนมือถือแล้ว

ในฐานะที่เป็นส่วนหนึ่งของระบบนิเวศที่กำลังพัฒนา Microsoft ได้ประกาศรับรองความถูกต้องบนไอโอเอส โดยใช้ใบรับรอง Azure Active Directory สำหรับใช้ในเชิงพาณิชย์และรัฐบาลสหรัฐฯ การรับรอง PIV โดยตรงสำหรับ Azure AD มีความสำคัญต่อองค์กรของรัฐบาลกลางที่ใช้บัตร PIV / CAC หรือข้อมูลประจำตัวเพื่อให้เป็นไปตามข้อกำหนดของคำสั่งบริหารที่ 14028

เพื่อแสดงให้เห็นถึงข้อกำหนด 2FA อันทรงพลังนี้เราจะใช้ใบรับรอง X.509, คีย์ YubiKey 5 Series และแอป Yubico Authenticator เพื่อตรวจสอบบัญชีอีเมล Office 365 ผ่าน Azure AD CBA บนอุปกรณ์ iOS ที่รองรับ

วิดีโอนี้แสดงให้เห็นถึงกระบวนการรับรอง PIV ทั้งหมดผ่าน Azure AD CBA

2. ลายเซ็นดิจิทัล

ลายเซ็นดิจิทัลที่ใช้เข้ารหัสผ่านคีย์สาธารณะเป็นเทคนิคที่ใช้ในการตรวจสอบความถูกต้องความสมบูรณ์และการปฏิเสธข้อความเอกสารดิจิทัลซอร์สโค้ดหรือแอปพลิเคชันซอฟต์แวร์ กรณีการใช้งานทั่วไปสำหรับลายเซ็นดิจิทัล คือ การส่งอีเมลลายเซ็นดิจิทัลตามโปรโตคอล Secure / Multipurpose Internet Mail Extension (S / MIME) รวมถึงใบรับรอง ใบรับรอง S/MIME มีฟีเจอร์ความปลอดภัยอีเมลที่สำคัญ 2 ประการ ได้แก่ ลายเซ็นดิจิทัลและการเข้ารหัส โปรโตคอล S/MIME ใช้ร่วมกับใบรับรองดิจิทัลสำหรับการเข้ารหัสข้อมูลความสมบูรณ์ของข้อความและการปฏิเสธแหล่งข้อมูล

สำหรับกรณีการใช้งานนี้ ใบรับรอง S/MIME แบบดิจิทัลอาจมาจากใบรับรอง PIV ที่ได้รับหรือจากผู้ออกใบรับรอง (CA) และเก็บไว้ใน YubiKey ที่เข้ากันได้กับ PIV ในกรณีนี้คุณต้องกำหนดค่าแอป Apple Mail ดั้งเดิมเพื่อส่งอีเมลพร้อมลายเซ็นดิจิทัล โดยอ้างถึงตัวชี้คีย์ส่วนตัวของใบรับรองที่ลงนามใน YubiKey เราใช้แอป Yubico Authenticator เพื่อคัดลอกคีย์สาธารณะของใบรับรองไปยัง iOS Keychain (ครั้งเดียว) และทำหน้าที่เป็นมิดเดิลแวร์ระหว่างโมดูล PIV ของ YubiKey และอุปกรณ์ เมื่อใดก็ตามที่คุณส่งอีเมลที่เปิดใช้งานลายเซ็นดิจิทัล คุณจะได้รับแจ้งให้เปิด Yubico Authenticator เพื่อโต้ตอบกับ YubiKey เพื่อลงนาม สิ่งนี้ทำให้คุณมีความสมบูรณ์ของข้อความและไม่สามารถปฏิเสธได้

นี่คือลักษณะของอีเมลขาออกที่ใช้ใบรับรอง s/MIME บน YubiKey สำหรับสมาร์ทการ์ดโดยใช้แอพ native iOS Mail เพื่อส่งลายเซ็นดิจิทัล:

สำคัญ: อีเมลที่มีลายเซ็นดิจิทัลจะถูกส่งในรูปแบบข้อความชัดเจน (ไม่มีการเข้ารหัส) และลายเซ็นดิจิทัลจะถูกส่งเป็นไฟล์แนบสำหรับข้อความชัดเจน

ในส่วนถัดไปเราจะใช้ใบรับรองเดียวกันเพื่อให้ครอบคลุมกรณีการเข้ารหัสลับ / ถอดรหัสเพื่อให้แน่ใจว่าข้อความเป็นส่วนตัวและปกป้องข้อมูลที่สำคัญ

3. การเข้ารหัส / ถอดรหัส

ในกรณีการใช้งานนี้เราจะแสดงการเข้ารหัส/ถอดรหัสเนื้อหาของข้อความของอีเมลโดยใช้ใบรับรอง S/MIME เดียวกันที่ใช้ในการลงชื่อแบบดิจิตอลของอีเมลขาออก กระบวนการเข้ารหัส/ถอดรหัสข้อความนั้นไม่ง่ายเหมือนการเซ็นชื่อ เพราะเกี่ยวข้องกับทั้งสองฝ่าย ตัวอย่างเช่น ในการเข้ารหัสอีเมลขาออก คุณจะใช้คีย์สาธารณะของผู้รับ ในการถอดรหัสข้อความขาเข้า (โดยผู้ส่งจะถูกเข้ารหัสด้วยกุญแจสาธารณะ) คุณจะใช้กุญแจส่วนตัว

ดังนั้นจึงมีสองส่วน:

1. ส่งข้อความเข้ารหัสโดยใช้คีย์สาธารณะของผู้รับ
2. ถอดรหัสข้อความที่เข้ามาด้วยคีย์ส่วนตัวของผู้รับ

กรณีการใช้งานที่นี่เน้นไปที่การถอดรหัส เนื่องจากเป็นส่วนเดียวที่ต้องการโต้ตอบกับคีย์ส่วนตัวที่อยู่บน YubiKey เช่นเดียวกับที่เราใช้ลายเซ็นอีเมล เราจะใช้แอป Yubico Authenticator เป็นมิดเดิลแวร์ระหว่างโมดูล PIV ของ YubiKey และอุปกรณ์ เนื่องจากเราใช้ใบรับรอง S/MIME เดียวกันสำหรับลายเซ็นอีเมลตัวชี้ที่ชี้ไปที่คีย์สาธารณะมีอยู่แล้วใน iOS Keychain

นี่เป็นความแตกต่างที่สําคัญที่ต้องจดจํา คีย์ส่วนตัวสำหรับเซ็นหรือถอดรหัสจะไม่ออกจาก YubiKey

เมื่อใดก็ตามที่คุณได้รับอีเมลที่เข้ารหัส Apple Mail จะแจ้งให้คุณโต้ตอบกับ Yubico Authenticator เพื่อถอดรหัสข้อความขาเข้าโดยใช้คีย์ส่วนตัวที่อยู่บน YubiKey

หมายเหตุ: หากคุณไม่ได้ใช้บัญชี Exchange คุณจำเป็นต้องส่งและรับอีเมลที่ลงนามก่อนที่คุณจะสามารถส่งอีเมลที่เข้ารหัสได้ เพื่อให้การสาธิตกรณีการใช้งานง่ายขึ้น เราจะใช้ใบรับรอง S/MIME แบบเดียวกัน ใช้คีย์สาธารณะเพื่อส่งข้อความอีเมลที่เข้ารหัส และถอดรหัสข้อความโดยใช้กุญแจส่วนตัวที่เกี่ยวข้องซึ่งประจำอยู่บน YubiKey ใช่เราส่งอีเมลเข้ารหัสให้กับตัวเองเพื่อวัตถุประสงค์ในการนำเสนอ:

อ้างอิง yubico

สอบถามเพิ่มเติม
💬Line: @monsterconnect https://lin.ee/cCTeKBE
☎️Tel: 02-026-6664
📩Email: [email protected]
📝 Price List สินค้า https://bit.ly/3mSpuQY

🛍 Lazada Shop https://www.lazada.co.th/shop/monsteronline/
🛒 Shopee Online https://shopee.co.th/shop/849304465/
🏷 LINE SHOPPING https://shop.line.me/@monsterconnect

🏢 Linkedin : https://www.linkedin.com/company/monster-connect-co-ltd/
📺 YouTube : https://www.youtube.com/c/MonsterConnectOfficial
📲 TikTok : https://www.tiktok.com/@monsteronlines
🌍 Website : www.monsterconnect.co.th