Google start verkoop Titan-beveiligingssleutel met usb-c

Google heeft een nieuwe beveiligingssleutel in zijn Titan-serie aangekondigd. De in samenwerking met Yubico gemaakte fysieke sleutel kan via usb-c verbonden worden en kost in de VS 40 dollar, omgerekend en met btw 44 euro.

Wanneer de USB-C Titan Security Key, zoals Google de sleutel noemt, in andere landen te koop komt is niet bekend. De Titan-sleutels die via bluetooth en usb-a en nfc functioneren zijn sinds juli ook in Canada, Frankrijk, Japan en het Verenigd Koninkrijk te koop. Google kondigde deze Titan-sleutels meer dan een jaar geleden aan.

De werking van de usb-c-variant is identiek. De hardwaresleutel biedt authenticatie in twee stappen en werkt op basis van de FIDO-standaard. De sleutels zijn gemaakt door Yubico, bekend van de YubiKey-sleutels, en draaien door Google aangepaste firmware.

Google Titan usb-c

Door Olaf van Miltenburg

Nieuwscoördinator

15-10-2019 • 08:40

54

Submitter: Anonymoussaurus

Reacties (54)

Sorteer op:

Weergave:

De sleutels zijn gemaakt door Yubico, bekend van de YubiKey-sleutels, en draaien door Google aangepaste firmware.
Dan ben ik toch wel benieuwd wat de wijzigingen zijn ten opzichte van de Yubico firmware.
Zoals Google zelf schrijft:
USB-C Titan Security Keys are built with a hardware secure element chip that includes firmware engineered by Google to verify the key’s integrity.
en:
We highly recommend all users at a higher risk of targeted attacks to get Titan Security Keys and enroll into the Advanced Protection Program (APP), which provides Google’s industry-leading security protections to defend against evolving methods that attackers use to gain access to your accounts and data.

[Reactie gewijzigd door delphium op 23 juli 2024 14:21]

Dat zal er ongetwijfeld ook in zitten. Toch ben ik er niet gerust op vanuit privacy aspect. Google is toch een bedrijf wat veel doet met het inwinnen van persoonlijke informatie waar ook al vele vraagtekens bij staan. Ik vraag mij dan serieus af wat een partij als Google dan ook nog meer stopt in firmware, in apparaten zoals deze, ik ben er in elk geval niet gerust op.

Een totaal ander apparaat, maar toch; zelfs de Google Home heeft in de firmware een standaard DNS van 8.8.8.8 en 8.8.4.4 staan en pakt qua DNS dus niet de instellingen vanuit de DHCP. En ook de DNS requests gebruikt Google voor het profileren van gebruikers. Om dat vervolgens ook met beveiligingssleutels te gaan doen, vind ik een stap te ver gaan, dus ik snap de vraag van @Caayn heel goed.

[Reactie gewijzigd door CH4OS op 23 juli 2024 14:21]

... En ook de DNS requests gebruikt Google voor het profileren van gebruikers. ...
Heb je daar een bron van?
Google stated that for the purposes of performance and security, the querying IP address will be deleted after 24–48 hours, but Internet service provider (ISP) and location information are stored permanently on their servers.[13][14][15]

According to Google's general privacy policy, "We [Google] may combine personal information from one service with information, including personal information, from other Google services".[14] However, Google Public DNS's policy specifically states that "We don't correlate or combine information from our temporary or permanent logs with any personal information that you have provided Google for other services."[13]

Verder geen waarde oordeel, bovenstaande is wat ik na kort zoeken kon vinden.
Nee, ze combineren de data niet, maar er staat niks over dat ze de data niet op zichzelf bewaren en correleren. (Bron-IP bijv en DNS requests).
En dan komt er een nieuwsbericht dat het door een ongeluk toch gebeurd is.
We don't correlate or combine information from our temporary or permanent logs with any personal information that you have provided Google for other services."
Potentieel addertje onder het gras: informatie uit tijdelijke of permanente logs aangeleverd door de gebruiker kan gecorreleerd of gecombineerd worden met informatie die aangeleverd wordt anders dan via de gebruiker, maar die nog steeds wel betrekking heeft op gebruiker. Zo wordt nog steeds voldaan aan deze uitspraak.
"We don't correlate or combine information from our temporary or permanent logs with any personal information that you have provided Google for other services."[13][/i]
er wordt gezwegen over het combineren met data die ze zelf hebben vergaard van jou die je niet bewust hebt gegeven.

Als ik je in de toonzaal zie, dan gééf je me geen persoonsbeschrijving van jezelf, maar dan ik wel zeggen dat een man van begin in de 20 interesse heeft in product x, zonder dat je klant bent bij de firma en die gegevens mag het bedrijf dan wel gebruiken om bvb een reclamecampagne te targetten op die doelgroep.
Je scepsis inz, dat statement is terecht:
Google Public DNS stores two sets of logs: temporary and permanent. The temporary logs store the full IP address of the machine you're using. We have to do this so that we can spot potentially bad things like DDoS attacks and so we can fix problems, such as particular domains not showing up for specific users.

We delete these temporary logs within 24 to 48 hours.

In the permanent logs, we don't keep personally identifiable information or IP information. We do keep some location information (at the city/metro level) so that we can conduct debugging, analyze abuse phenomena. After keeping this data for two weeks, we randomly sample a small subset for permanent storage.

We don't correlate or combine information from our temporary or permanent logs with any personal information that you have provided Google for other services.
Bron

... Tenzij je dat statement niet gelooft of vertrouwd, maar dan is er geen discussie mogelijk.

[Reactie gewijzigd door McOrmick op 23 juli 2024 14:21]

Tenzij je dat statement niet gelooft of vertrouwd, maar dan is er geen discussie mogelijk.
Het ging niet om een discussie. @Plompie vroeg enkel om een bron.

Daarnaast kan er natuurlijk altijd discussie zijn over de betrouwbaarheid van een bron, bijvoorbeeld gebaseerd op hoe deze of soortgelijke organisaties zich gedroegen in het verleden. Dit even onafhankelijk van deze specifieke vraag.

Wel specifiek over deze vraag: zie het mogelijke addertje onder het gras in mijn andere reactie.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 14:21]

Vroeg mij idd af of ze ergens melden dat de DNS data ook gebruikt kan worden voor / als toevoeging aan een persoonlijk profiel maar dat lijkt dus niet het geval.

In veel berichten zie je dat alle Google diensten over 1 kam worden geschoren (Medische gegevens in de Google cloud bijvoorbeeld). Terwijl er een duidelijk onderscheid te maken valt tussen Google Cloud / Gsuite / Google domains / DNS en de Zoekmachine / Youtube / Adsense /e.d.

Natuurlijk hebben Google's ad driven verdienmodellen voordeel aan snelle DNS query's, een soepele browser ervaring en standaarden als QUIC en SPDY maar die hebben ook zeker voordelen voor de doorsnee gebruiker. Het zijn geen heiligen bij Google maar ze dragen ook zeker hun steentje bij in positieve zin.

Geschreven in Firefox trouwens
[...]


Heb je daar een bron van?
8.8.8.8 ;)
Dit is ongefundeerde FUD. De specs zijn publiek en bieden geen ruimte voor de dingen die je noemt:
- De CTAP specificatie beschrijft hoe de dongle communiceert met software zoals een browser: https://fidoalliance.org/...col-v2.0-ps-20190130.html
- WebAuthn beschrijft de Javascript APIs die een website kan gebruiken: https://www.w3.org/TR/webauthn/
Sterker nog, de specificaties hebben diverse privacy aspecten ingebouwd.

En om alvast de "ja maar Google is evil"-strohalm voor te zijn, Google is een bedrijf met 80.000 medewerkers en niet elke afdeling heeft dezelfde doelen of zelfs doelen die op dezelfde lijn liggen. Google is (zoals velen) gebaat bij een veiliger internet waar accounts niet meer gehackt worden. Het concept van beveiligingssleutels is intern voor hun medewerkers ontwikkeld en daarna gestandaardiseerd bij het W3C.
Dat is het eerste waar ik aan dacht. Geef mij de yubico dan maar! Ik gebruik em nu voor werk iets meer dan een jaar. Het is een leuke gadget, al gebruik ik em niet voluit. 2FA haal ik voornamelijk uit de DUO app. Zo'n sleutel laat je gemakkelijk in je PC steken en dan is authenticeren toch wat eenvoudig.

[Reactie gewijzigd door vpm op 23 juli 2024 14:21]

Zo'n sleutel laat je gemakkelijk in je PC steken
Ik ben van een handvol sleutels de afgelopen jaren teruggegaan op twee sleutels: een voor alle sloten in huis, één voor alle sloten op mijn fiets (ik weet dat twee verschillende merken fietssloten veiliger is). Mischien kan er weer een derde aan mijn sleutelbos om in te kunnen loggen?
Een leuk idee maar je zou heel makkelijk kunnen bewijzen of Google zo als jij schijnt te denken stiekem je login gegevens of de sites die jij bezoekt etc door stuurt naar de Google servers. Alle verkeer moet immers over jou netwerk naar de ISP en vervolgens naar Google dus simpel weg het netwerk verkeer loggen en even graven en je kunt al snel bewijzen of jouw angst gegrond is of niet.

Nu zou Google hele erg dom zijn om zo iets te doen, ze hebben al zo veel informatie dat dit hele kleine beetje extra informatie ze echt niet gaat helpen. De install base is klein, en de gebruikers zijn erg geavanceerd en zullen due snel ontdekken dat er misbruik van de key gemaakt wordt door Google.

Ik ben er van overtuigt dat Google slim genoeg is om dit soort dingen niet te gebruiken om mensen nog verder te bespioneren. Dat neemt niet weg dat ik toch ook echt eerst even (ook bij een Yubikey) goed zal kijken of de informatie die verstuurt wordt niet toevallig ook informatie lekt naar servers waar ik die liever niet naar toe zou zien gaan. Maar dat lijkt me logisch als je slim genoeg bent om dit soort hardwarematige beveiliging te gebruiken dan hoor je ook verstandig genoeg te zijn om het even goed te controleren voor je het in het wild in zet.
waarschijnlijk zoiets ;)

if (Name.Equals("Google"))
{
SendAllToGoogle(userdata);
}
Op het moment dat google/amazon/facebook (apple (zelf geen ervaring mee) /microsoft (ietjes minder)) een dergelijk product in productie neemt dan is gelijk al mijn vertrouwen instant weg.
deze bedrijven hebben in mijn ogen al laten zien dat het product niet het daadwerkelijke product is. Enkel een mooi glimmeetje om het product mee te lokken.

Edit: Apple bijgevoegt na comment andere gebruiker.

[Reactie gewijzigd door Unsocial Pixel op 23 juli 2024 14:21]

Enkel een mooi glimmeetje om het product mee te lokken.
Hoe gaat dit glimmertje meer ad-space genereren? Want dat is het product van Google...
Add space is helaas niet het enige waar google in investeerd. Ik verwacht, en dit is dus een aanname gevoed door het wantrouwen dat deze bedrijven reeds hebben gekweekt, dat er in verloop van tijd wel weer nieuws voorbij komt dat google automatisch elke keer dat je hen key gebruikt dat er bijv. een pingetje naar google gaat zodat zij hun datahonger weer een beetje gevoed krijgen.
Add space is helaas niet het enige waar google in investeerd.
Al investeren ze in kiezelstenen, dat verandert nog niet wat het product is dat Google verkoopt en dat is nog steeds ad-space.
dat google automatisch elke keer dat je hen key gebruikt dat er bijv. een pingetje naar google gaat zodat zij hun datahonger weer een beetje gevoed krijgen.
Verdiep je in FIDO/U2F en je zult zien dat het niet zo werkt. FIDO keys zijn relatief domme devices die alleen codes genereren, en de browser/OS/applicatie doet daar wat mee. Google zou een dergelijk "pingetje" veel beter in Chrome kunnen stoppen...
Waarom vind google het dan nodig om hen eigen sausje erover heen te gieten? Doet mijn wenkbrauwen iig fronzen. Daarnaast heb ik niet gezegt dat ze het doen, echter wel dat het mijn verwachting is.
daarnaast zal google ongetwijfeld pingetjes sturen als je chrome gebruikt.

Also even lijstje met google producten, adspace is lang niet het enige dat ze verkopen: https://en.wikipedia.org/wiki/List_of_Google_products

[Reactie gewijzigd door Unsocial Pixel op 23 juli 2024 14:21]

Waarom vind google het dan nodig om hen eigen sausje erover heen te gieten?
Welk eigen sausje? Dit is gewoon een standaard FIDO/U2F key. Het enige wat Google doet is ze makkelijker beschikbaar maken voor Google gebruikers.
Also even lijstje met google producten, adspace is lang niet het enige dat ze verkopen
Het overgrote deel van die "producten" is gratis en wordt dus niet "verkocht". Daarnaast zijn ze niks anders dan een ondersteuning voor hun ad-platform.
Een product als Google Apps is wel iets wat ze naast de ads doen.

Ads zijn gewoon de core-business voor Google, en verantwoordelijk voor het overgrote deel van de winst (bijna 90%)
A staggering $24.1 billion of Google's $27.77 billion revenue for Q3 2018 was from advertising
Jouw profiel valt onder de ads divisie bij Google De pingetjes (als ze er zijn) die men bedoelt gaat dan daar dus naartoe.

Het eigen sausje is letterlijk in het bericht te lezen. Googles EIGEN firmware. Er zijn dus aanpassingen gedaan ten opzichte wat Yubikey in zijn eigen producten heeft.

Het gaat er bij Google om om een zo'n compleet mogelijk profiel te krijgen van jou als gebruiker om te verkopen en ook te adverteren hoe gerichter de advertenties zijn hoe groter de kans dat men klikt.
Al hun diensten zijn toegespitst om een zo'n compleet mogelijk beeld te creeren.van jouw hishouden. En ja dat ze dan meeluisteren met Google home en weet ik veel wat aan feedback dat hun producten terugsturen moet je dan maar voor lief nemen als je hun producten gebruikt.
Googles EIGEN firmware. Er zijn dus aanpassingen gedaan ten opzichte wat Yubikey in zijn eigen producten heeft.
Waarschijnlijk wat branding, meer niet. Wellicht moet je je eens verdiepen in hoe de FIDO/U2F sticks werken. Ze doen zich naar het OS voor als USB HID device, niks meer of minder, en hebben dus eigenlijk vrijwel geen mogelijkheden. Hierdoor werken ze ook goed zonder driver.
Ik weet heel goed hoe FIDO/U2F sticks werken. Yubikeys hebben idd vrijwel geen mogelijkheden, maar je kan er heel veel mee doen. Als Google wilt dat het data packets verstuurd dan kan je dat gewoon inbouwen in de firmware. Denken dat het niet kan is gewoon naief zijn. Dat het Ethisch niet ok is is een hele andere orde maar het zou mij niks verbazen als Google het zou doen. Ethisch gezien is het nu niet het netste bedrijf op de planeet.
Als Google wilt dat het data packets verstuurd dan kan je dat gewoon inbouwen in de firmware.
En dat is binnen een paar dagen ontdekt door een random security-expert/hacker... Een groot risico voor minimale bruikbaarheid. Makkelijker om het gewoon in Chrome te stoppen, het merendeel van de gebruikers gebruikt dat al en de kans dat het ontdekt wordt is veel kleiner. Als Chrome connectie maakt met internet is dat niet vreemd, als je merkt dat je FIDO key met internet babbelt is er wat vreemds aan de hand.
Neem daarbij het feit dat het aantal Chrome gebruikers veel groter is dan het aantal Google FIDO key gebruikers... ik zou de moeite niet nemen en het risico niet willen lopen.
Unsocial Pixel suggereert dat de gebruiker (dwz jij) het product bent.
Dan snapt hij niet hoe Google werkt. De gebruiker is het product niet, de gebruiker (en zijn data) zijn een stuk gereedschap om ad-space mee te verkopen.
Ad space is een dienst. Een dienst die tot stand kan worden gezet door een entiteit te verhandelen (de data die mij representeert) dus ben ik automatisch het product.

Zo zie ik het tenminste
Google handelt in gegevens? Ze zijn niet achterlijk, ze gebruiken die gegevens om gerichte advertentie-ruimte te bieden, het verhandelen ervan zou juist anderen in staat stellen die advertentie-ruimte te bieden buiten Google om.
Dus nee, je bent niet het product, jouw gegevens zijn een middel om het product te verbeteren en aantrekkelijk te maken voor de afnemers.
En Apple net zo goed, maar daar sluit je dan blijkbaar je ogen voor (gezien je ze niet op noemt), achja als je maar denkt dat je het goede doet toch (het trackrecord getuigd echter dat ze prima in het rijtje passen) :Y)
Ik zal ze erbij zetten ;) heb zelf nooit gebruik gemaakt van hen diensten op de iPod nano en iTunes destijds na, volgens mij hadden ze toen nog een redelijk track record
Zo passen er nog heel veel in het rijtje, dat je ze niet allemaal opnoemt betekent toch niet dat je je ogen ervoor sluit?
Er zitten helaas geen smartcard functionaliteiten op, erg jammer als je het mij vraagt, dat is namelijk de feature die ik bij mijn yubikey juist vaak gebruik.
Voor wat? Windows 10 ondersteund Yubikeys toch?

Of mis ik wat?
Ja.. Althans dat denk ik, ik gebruik geen Windows. Maar ik snap je vraag niet helemaal denk ik? Mijn statement is dat de Titan geen smart card functionaliteit heeft en dat ik dat jammer vind.
Windows 10 Enterprise: Smartcard functionality weg -> onbruikbaar.
Windows 10 Non-enterprise: Windows Hello functionality nog aanwezig (?) -> bruikbaar.
Mac OS X: Smartcard functionality weg -> onbruikbaar.

Ik was aan het evalueren wat de impact is
Nja, ik doelde meer op de GPG smartcard. Voor het opslaan van de keys die je nodig hebt voor Authentication, signing en encryption.
Deze key lijkt speciaal gemaakt voor het Advanced Protection Program (APP), niet als generieke key. Ik kan me dus voorstellen dat ze bepaalde functie uitgeschakeld hebben om het simpel te houden.
Wat moet je doen als je zo'n sleutel kwijtraakt? Het lijkt me niet de bedoeling dat je eenvoudig zonder zo'n sleutel kunt inloggen; immers, die sleutel was nou het jouw bewijs dat jij jij bent.

Bij Google zelf kan ik hier weinig over vinden, bij andere fabrikanten van dit soort sleutels zie ik het advies om meteen twee exemplaren te kopen, beide aan te melden [1], en 1 in de kluis te leggen.

[1] Je kunt, als het goed is, nooit de private keys uit deze sleutels extracten - je kunt er dus geen back-up van maken.

Zijn er Tweakers die dit soort sleutels gebruiken, en wat doen jullie in het geval van verlies of defect raken?
In geval van verlies of defect? Je moet gewoon meer dan één key hebben helaas.
Er wordt gewerkt aan een recovery extension voor WebAuthn: https://github.com/w3c/we...31#issuecomment-533493246 maar voorlopig is een tweede fysieke sleutel het antwoord.

[Reactie gewijzigd door Rafe op 23 juli 2024 14:21]

Het is aan te raden om een backup te hebben. Ik gebruik vaak een backup in de vorm van backup codes of een app waarmee ik de tweede factor heb. Ken ook wel mensen die 2 keys hebben. Veel systemen geven je de mogelijkheid om meerdere Keys toe te voegen
Voorwat gebruik je een yubikey of dit, is dat om in te loggen in bv windows of amazon :)?
om uw passwordmanager te beveiligen bv.
Maar met één key ben je niets. Want als die ene key stuk is kan je er nooit meer in als je de zwakke schakels uit haalt.

Haal je die er niet uit heeft uw key ook geen nut
Beetje zoals de Key bij bitcoins dan, kwijt dan kan je er niet meer aan.
iemand een idee of er een externe HDD is met NFC die gebruik zou kunnen maken van zo een Key, of die van Yubico zelf ?

[Reactie gewijzigd door Verwijderd op 23 juli 2024 14:21]

Volgens mij te niche en dus nee.
Maar er zijn oplossingen te vinden met een soort portable geëncrypteerde kluis die al dan niet met een ubykey kunnen gekoppeld worden.
Is er een lijst bekend met diensten die deze key ondersteunen en werkt deze ook op Linux? Ik twijfel wel over die key, er zijn zo te lezen ook open source varianten beschikbaar. Die juig ik eerder toe.

Beetje gek dat Google iets uitbrengt met aangepaste firmware. Voor een SSD maakt mij dat niet zoveel uit, maar hier zit je op een heel ander niveau.

[Reactie gewijzigd door HollowGamer op 23 juli 2024 14:21]

Heb er onlangs even naar gekeken, en de Yubico keys werken in principe onder linux door de combinatie van een udev-regel om de hardware correct te herkennen, en een regel in de PAM configuratie om de tweede stap in de authenticatie uit te voeren.
Als je verder denkt dan enkel aanmelden op je pc, is het aan de gebruiker/admin om een sleutel of certificaat beschikbaar te maken voor alle andere apps - het is mijn bedoeling om mijn huidige SSO setup (op basis van Kerberos) uit te breiden, maar heb het dus nog niet geprobeerd. Ik kijk vooral op tegen de interactie met de LDAP store waartegen PAM de Yubico key van alle gebruikers moet verifiëren.
Je kan ook zonder SSO werken en authenticatie van alle andere apps configureren om gebruik te maken van PAM. Dat wil dan wel zeggen dat je voor iedere app je opnieuw moet aanmelden, maar je gebruikt dan wel telkens dezelfde login credentials.
Ik wacht nogsteeds tot yubikey eentje uitbrengt met USB C en USB A.
Ze hebben er al eentje met lightning dus hoop dat t snel komt, zou niet weten waarom niet.
Heb momenteel een USB c-usb A USB stick en dat is geweldig om met alle apparaten te combineren. Ik kan het gebruiken om mijn oude laptop te flashen maar ook media op mijn telefoon te bekijken of gebruik te maken van de USB op een surface go.

Op dit item kan niet meer gereageerd worden.