R
А при биометрии тогда как? Нужно новую пару ключей генерить? и тип аутенификации (pin/biometry) отправлять?
Биометрию тебе не нужно отправлять на сервер. Количество попыток входа по биометрии управляется системой.
Size: a a a
2019 October 23
R
Поэтому это чисто локальная история
V
Биометрию тебе не нужно отправлять на сервер. Количество попыток входа по биометрии управляется системой.
я имею такое:
1. генерим private-public key на основе пинкода
2. Если юзер согласен использовать биометрию то генерим private-public key на основе биометрии
3. отправляем оба паблик ключа на сервер
4. в нужный момент запрашиваем челендж на основе биометрии
5. если подпись челенджа фейлится с помощью биометрии (валидация происходит на сервере) то запрашиваем новый челендж для пинкода
1. генерим private-public key на основе пинкода
2. Если юзер согласен использовать биометрию то генерим private-public key на основе биометрии
3. отправляем оба паблик ключа на сервер
4. в нужный момент запрашиваем челендж на основе биометрии
5. если подпись челенджа фейлится с помощью биометрии (валидация происходит на сервере) то запрашиваем новый челендж для пинкода
V
я могу выглядеть дико глупым, в эту тему погрузился буквально час обратно, сорри пытаюсь разобраться
R
Я по прежнему не понимаю зачем тебе все эти приседания с отправкой ключей от биометрии на сервер. Смотри как это обычно работает: ты создаешь ключ в кейсторе, который достается только после правильного пальца. Это ключ шифрования для данных на диске. Т.е. пока ты не приложишь палец - все данные зашифрованы.
R
Сервер тут вообще не нужен
R
Он становится нужен, когда ты делаешь PIN, там да
R
Я не зря написал выше, что попытки брута пальца управляются системой. Тебе не нужен сервер тут
V
Хмм.. Не понятно как биометрия заменяет пинкод в таком случае
V
Если у меня включена биометрия, но я передумал и решил пинкод использовать
V
эти оба способа ведут к тому что расшифровать ключ, который лежит в кейсторе?
R
Нет. Я потом и говорю - дождись статьи
R
Ну либо подискутируйте тут без меня =) Может еще лучше чем я придумаете решение, а я у вас его украду и опишу в статье)
V
К сожалению, тикет уже в бэклоге, 3 недель нету:(
NK
даешь статью, когда ее ждать кстати?) примерно
NK
аа, чреез 3 недели?
R
До 15го ноября должна быть готова. Это мой персональный дедлайн, но возможно выйдет раньше
.
СП
Если у меня включена биометрия, но я передумал и решил пинкод использовать
Вероятно в этом случае можно и нужно перейти на обычную схему с авторизацией через челлендж и сервер
V
Вероятно в этом случае можно и нужно перейти на обычную схему с авторизацией через челлендж и сервер
т.е. описанный вариант аутенификации с помощью пинкода +- верный?
V
я пока не придумал вариантов(и не нагуглил) как с помощью пинкода авторизироваться. Хранить на девайсе нельзя, единственный вариант который в голову пришел это сделать что-то вроде ssh соединения private key-password-public key