key – Page 3 – Gea-Suan Lin's BLOG

把 SSH Key 放進 Secure Enclave 裡保護

看到 Secretive 這個專案，是利用蘋果的 Secure Enclave 機制，把 SSH private key 放進去在裡面進行運算，避免 private key 檔案被惡意程式讀取就洩漏出去了。

從 Secure Enclave 的介紹頁面可以看到這個需要有 T1 或是 T2 晶片才有 Secure Enclave 功能：

Mac computers that contain the T1 chip or the Apple T2 Security Chip

而從 Apple Silicon 這邊可以看到 Apple T1 chip 是 2016 年後的機種引入的：

The Apple T1 chip is an ARMv7 SoC (derived from the processor in S2 SiP) from Apple driving the System Management Controller (SMC) and Touch ID sensor of the 2016 and 2017 MacBook Pro with Touch Bar.

然後對於沒有 Secure Enclave 的古董機，可以透過有支援 smart card 的硬體掛上去，像是 YubiKey：

For Macs without Secure Enclaves, you can configure a Smart Card (such as a YubiKey) and use it for signing as well.

照著他講的建議去翻了「YubiKey Smart Card Deployment Guide」這邊的資料，看起來 YubiKey 在 4 系列之後就有產品支援 Smart Card 了，不過要注意純 U2F 的版本沒支援。

Cloudflare 導入 Security Key 了 (WebAuthn)

Cloudflare 總算是導入 security key 了，之前都得開 app 用 TOTP 認證：「Cloudflare now supports security keys with Web Authentication (WebAuthn)!」。

把 security key 設定好之後，登入就會跳提示要你用 security key 登入：

當你手上沒辦法用 security key 時，還是可以選擇用 TOTP：

這樣方便多了，而且也更安全 (比起六碼數字，以及防 phishing 的能力)。

Amazon Redshift 會自動在背景重新排序資料以增加效能

Amazon Redshift 的新功能，會自動在背景重新排序資料以增加效能：「Amazon Redshift introduces Automatic Table Sort, an automated alternative to Vacuum Sort」。

版本要到更新到 1.0.11118，然後預設就會打開：

This feature is available in Redshift 1.0.11118 and later.

Automatic table sort is now enabled by default on Redshift tables where a sort key is specified.

重新排序的運算會在背景處理，另外帶一些行為學習分析：

Redshift runs the sorting in the background and re-organizes the data in tables to maintain sort order and provide optimal performance. This operation does not interrupt query processing and reduces the compute resources required by operating only on frequently accessed blocks of data. It prioritizes which blocks of table to sort by analyzing query patterns using machine learning.

算是丟著讓他跑就好的東西，升級上去後可以看一下 CloudWatch 的報告，這邊沒有特別講應該是還好... XD

OpenSSH 支援 U2F

在「U2F support in OpenSSH HEAD」這邊看到 OpenSSH 的 HEAD 支援 U2F 了，使用的命名叫做 sk-ecdsa-sha2-nistp256@openssh.com。

照 mailing list 上更完整的說明「U2F support in OpenSSH HEAD」，看起來是當主要的 key，而不是當 MFA，也許再研究看看...

柏林鑰匙

在 Daily Hacker News 上看到「Berlin key」這個東西，用機械結構就可以強迫使用者一定要鎖門的鑰匙。

門平常都是上鎖的，要解鎖要先用鑰匙打開，然後從另外一邊鎖上後才能拿出來：

是個有年代的設計，但現在在柏林還是有不少這樣的設計：

Invented by the Berliner locksmith Johannes Schweiger, the Berlin key was massively produced by the Albert Kerfin & Co company starting in 1912. With the advent of more recent locking technologies, this kind of lock and key is becoming less common. It was estimated that 8000-10000 are still in use today in Berlin, Germany.

現代則是用自動門的門禁來管制，但這個設計還是很有趣...

破 reCAPTCHA 的 Buster

在「用 Google 的 Speech Recognition API 破 Google 的 reCAPTCHA」與「reCAPTCHA 與語音辨識：以子之矛，攻子之盾」都提過用語音辨識功能破 reCAPTCHA，現在又有一套了，而且直接在各瀏覽器的 extension 平台上架：「Buster: Captcha Solver for Humans」。

說明可以看到一樣是透過聲音的部份辨識：

Buster is a browser extension which helps you to solve difficult captchas by completing reCAPTCHA audio challenges using speech recognition. Challenges are solved by clicking on the extension button at the bottom of the reCAPTCHA widget.

除了安裝很簡單以外，設定也弄得很簡單，這個套件支援多種不同語音辨識 API，包括 Google、Microsoft 以及 IBM 的服務，只要在套件的設定頁輸入 API key 就可以了...

另外剛好也跟 reCAPTCHA 有關，在 Hacker News 上的「Google's Captcha in Firefox vs. in Chrome (grumpy.website)」看到 Google Chrome 與 Mozilla Firefox 在跑 reCAPTCHA 的不同之處 (Chrome 的流程順很多，Firefox 卡很多)，不過我覺得證據還有點弱，需要再看其他的測試...

另外裡面有提到一些奇怪的東西，像是 W3C 的替代方案 (這個組織提的東西...)：「Inaccessibility of CAPTCHA」，找時間來研究一下...

G Suite 的管理員可以關閉簡訊與電話語音的 2FA 了

看到「Disable SMS or voice codes for 2-Step Verification for more secure accounts」這邊的說明，G Suite 的管理員可以將 SMS 與 Voice 強制關閉 (也就是不認為這兩個管道是安全的 2FA)。

主要是因為行動網路一直都不怎麼安全，像是 GPRS 與 3G network 使用的 KASUMI，或是 downgrade attack (用 2G network)。

目前 G Suite 登入有提供的 2FA 除了上面這兩個以外，應該還有 TOTP 與 U2F 類的認證方式，這次影響最大的應該是堅持用非智慧型手機的人？這種：

取自「File:Mobile phone evolution.jpg」

實際比較 Linode 的 Dedicated 主機與 AWS 的 c5.*

先前有提到 Linode 出了 Dedicated 主機：「Linode 推出 Dedicated CPU Instances」，現在找機會測試看看，拿了 Linode 的 Dedicated (4GB) 與 AWS 的 c5.large 比較，同樣都是 2 vCPU 與 4GB RAM。

這邊用了 n-st/nench 與 OpenSSL 的 speed (包括了 aes、md5、rsa、sha1 與 sha256) 測試，我把結果都貼到這邊：「Linode (Dedicated 4GB) v.s. AWS (c5.large)」。

可以看到在 CPU 方面主要的差異是 Linode 用的是 AMD，而 AWS 用的是 Intel，所以就會有蠻多不同的數字表現...

如果仔細看 OpenSSL 的測試數據，可以看到不同演算法的差異還蠻大的，馬上可以想到的應該是硬體加速方式與 cache 架構差異造成的：

在 cipher 類的測試我只測了 AES (目前的主流)，小的 block (16/64/256 bytes) 時 AMD 會輸一些，但大的 block (1024/8192/16384 bytes) 反而會贏不少。
在 hash 類的測試中，跑 MD5 時 Linode 則是輸一些，但 SHA1 反而是贏一些，然後 SHA256 時效能好到爆炸贏了一倍 XDDD
在 public key 類的測試我測了 RSA，則是 Linode 輸的蠻慘的...

如果考慮到價位大約只有 AWS 的一半，應該是還不錯...

幫你在本機產生 localhost 的 SSL Certificate

mkcert 這個工具可以產生出讓系統 (包括瀏覽器) 信任的 https://localhost/：「mkcert: valid HTTPS certificates for localhost」。

先建立 CA 的 root key 與 root certificate，然後把 root certificate 塞到系統與各軟體的信任清單內，再產生 localhost 的 key 與 certificate 出來給前面的 CA root key 簽名。把這些事情包裝起來就是 mkcert 了。

拿來開發軟體時比較方便一點，HSTS 的程式碼就可以全環境共用了...

Yubico 宣佈推出 Lightning 的 U2F 界面...

Yubico 在 CES 2019 上宣佈推出兩用版的 YubiKey，同時支援 USB-C 與 Lightning 接頭：「Yubico Launches the Security Key NFC and a Private Preview of the YubiKey for Lightning at CES 2019」。

從照片可以看出來是直接做成兩側各一個頭：

目前是 Private Preview，開發者需要跟 Yubico 申請：

If you are a developer or service that would like to support strong hardware authentication on iOS, we invite you to work with us by applying to participate in the YubiKey for Lightning Program. Selected participants will have access to the private preview of YubiKey for Lightning and also the Yubico Mobile iOS SDK for Lightning.

不過看起來是硬體限制沒辦法朝 NFC 支援？另外如果蘋果下一代 iPhone 換掉變成 USB-C 就搞笑了...