Неизвестный алгоритм COSE. alg: -257

SystemZ · 17.Февраль.2021 21:05:58

Здравствуйте,

Один из моих пользователей не может войти с помощью 2FA, используя аппаратный ключ.

После нажатия кнопки на ключе во время входа Windows 10 запрашивает PIN-код.
После ввода PIN-кода он получает ошибку: «Алгоритм, используемый для ключа безопасности, не распознан». Я проверил, это i18n-ключ webauthn.validation.unknown_cose_algorithm_error.

Сервер регистрирует это как ошибку:

Встречен неизвестный алгоритм COSE. alg: -257. user_id: <redacted>. params: <ActionController::Parameters {"signature"=>"<redacted>", "clientData"=>"<redacted>", "authenticatorData"=>"<redacted>", "credentialId"=>"<redacted>"} permitted: false>

Быстрый поиск в Google нашёл только это:
https://review.discourse.org/t/fix-catch-error-when-unknown-cose-algorithm-is-supplied-for-security-key-8649/8074

Похоже, что это нужно реализовать, но странно, как пользователю удалось настроить его на аккаунте?
Не уверен, могу ли я исправить это со стороны администратора форума без изменения кода.

Я использую рекомендованную автономную установку Docker с версией 2.7.0.beta3. Я пересобрал форум и обновил его менее чем за час до создания этой темы.

codinghorror · 18.Февраль.2021 00:48:57

Это странно. Могут ли они войти с помощью 2FA и этого аппаратного ключа в других веб-приложениях? Есть какие-то идеи, @dan?

Falco · 18.Февраль.2021 00:52:43

Можете сообщить модель ключа безопасности и версию браузера?

sam · 18.Февраль.2021 04:59:53

Будет интересно посмотреть, какого алгоритма не хватает в:

Я предполагаю, что это: Support EdDSA · Issue #48 · cedarcode/cose-ruby · GitHub EdDSA.

Если у нас есть модель и ОС разработчика.

Может быть, это вот эта штука? https://blockchain2fa.io/

Кажется, что блокчейны можно использовать для чего угодно.

dan · 18.Февраль.2021 11:00:16

Это ограничение библиотеки cose-ruby, которую мы используем, как указал @sam. Она поддерживает только следующие алгоритмы:

github.com/cedarcode/cose-ruby

lib/cose/algorithm.rb

master


      
          
          register(ECDSA.new(-7, "ES256", hash_function: "SHA256", curve_name: "P-256"))
          register(ECDSA.new(-35, "ES384", hash_function: "SHA384", curve_name: "P-384"))
          register(ECDSA.new(-36, "ES512", hash_function: "SHA512", curve_name: "P-521"))
          register(ECDSA.new(-47, "ES256K", hash_function: "SHA256", curve_name: "secp256k1"))
          register(EdDSA.new(-8, "EdDSA"))
          register(RSAPSS.new(-37, "PS256", hash_function: "SHA256", salt_length: 32))
          register(RSAPSS.new(-38, "PS384", hash_function: "SHA384", salt_length: 48))
          register(RSAPSS.new(-39, "PS512", hash_function: "SHA512", salt_length: 64))
          register(HMAC.new(4, "HMAC 256/64", hash_function: "SHA256", tag_length: 64))
          register(HMAC.new(5, "HMAC 256/256", hash_function: "SHA256", tag_length: 256))

Согласно сообщению об ошибке, указанный ключ безопасности использует алгоритм «-257», который соответствует RS256 и не рекомендуется к применению. Вероятно, именно поэтому библиотека не реализует его.

Какое устройство вы пытаетесь использовать для аутентификации?

Тема		Ответов	Просм.
Cannot complete 2FA with TOTP code if verifying with security key fails Bug	1	565	04.11.2021
Cant set up passkey on any discourse Bug passkey , fixed	13	180	16.03.2026
Login with Passkey fails if setup with Nitrokey 3A Mini Bug passkey	0	58	20.08.2024
What algorithm does 2FA use? Support	1	78	11.10.2024
Webauthn support Feature rfc	47	6401	30.08.2021

Неизвестный алгоритм COSE. alg: -257

Связанные темы