Yubikey PIV:执行PIN复杂性

Question

我试图对PIV证书执行PIN复杂性。PIV管理器(据我所知，该管理器不再正在开发中)可以执行此操作，但是YubiKey管理员没有这样的选项afaik。

因此，我被迫使用PIV管理器，如果想执行这一点。“有趣的”部分是，当我通过PIV管理器执行PIN复杂性时，我仍然能够通过YubiKey管理器设置"11111111“。

这意味着YubiKeyMangager直接忽略了通过PIV管理器设置的设置。而且，如果我可以覆盖引脚，而忽略了复杂性的强制执行，这似乎是一种安全风险。

是否有任何方法通过YUbiKey管理器强制执行PIN复杂性，或者我是否可以确保它不会忽略通过PIV管理器设置的设置？

Answer 1

固件上本机不支持YubiKey上的PIV PIN复杂性。YubiKey将PIV PIN内部存储为字节字符串，但当PIN被写入YubiKey时不能将其转换为可读文本并应用复杂性规则。

但是，YubiKey可以在写入时轻松检查PIN字节字符串的长度，并拒绝不属于NIST规范定义的允许长度的PIN。

NIS规范不会为PIN值设置超过长度的复杂性要求，因此YubiKey上的实现符合它们的指导原则。

一些用于在YubiKey上设置PIV PIN的工具对复杂性进行内部检查，但这些工具在PIN被写入YubiKey硬件之前执行。在这些情况下，复杂性仅在工具级别强制执行，并且可以通过其他应用程序将新的PIN写入YubiKey来绕过(正如所指出的那样)。