当我有一个 4096 位的公共/私有 RSA 密钥对并且我记得私钥而不将它存储在任何地方时，我知道吗？

是的。

当我用 4096 位写下或存储公共/私有 RSA 密钥对的私有部分时，这是否被认为是我拥有的东西？

不，认证因素不是写下密钥的那张纸，而是写下的密钥。钥匙与纸没有内在联系，没有它也可以生存。

这与包含密钥的智能卡或硬件令牌不同。这些设备被设计成不能提取密钥并且不能简单地复制设备，即密钥基本上具有单一的物理表现形式。

发送特定的位序列如何证明我可以物理访问某个设备？

以 RSA 密钥对为例：在智能卡的情况下，私钥位于卡上并且仅存在于那里。一个人无法提取密钥，但可以要求智能卡使用这个私钥签署一些东西——因为智能卡是一台微型计算机。因此，服务器可以发送一些质询，智能卡对质询进行签名，并且服务器可以使用与用户关联的公钥验证质询。如果签名匹配，则客户端必须有权访问智能卡，即证明拥有智能卡。其他基于硬件的令牌的工作方式相同：秘密永远不会离开硬件。

作为一个明显的例子“你有什么事情”不能被还原成“你知道的东西”是“有机会获得一个电子邮件地址/ SMS号码检索，我们刚刚向您发送的代码”。没有什么可以变成“知道”的。

TOTP 应用程序做出相同的假设，但不那么直截了当：当您扫描二维码以将您的 TOTP 应用程序链接到您在某个网站上的帐户时，服务器和您的手机会交换种子。从技术上讲，我想您可以提取种子并记住它，但假设种子安全地存储在您的设备中并且是唯一的。

对于像 Yubikey 这样的 USB 令牌也是如此：RSA 私钥在设备内部生成并且永不离开。成功执行私钥操作证明您实际拥有该设备。

信用卡/护照/建筑物身份证等内的加密芯片也是如此；这些 RSA 密钥在制造时已放入芯片中，祝您好运，提取并记住它们。

在所有情况下，验证都处理信息，而不仅仅是信息。“你拥有的东西”是一个有用的概念，但正如你所注意到的，当你真正深入了解细节时，每一次验证都是信息。

每个验证都由用户提供正确的用户很容易知道而其他人很难知道的信息。句号。

“你拥有的东西”的概念来自于识别哪些类型的信息特别有用（正确的用户很容易知道，而其他人很难知道）。

• 你知道的——这是可以保存在用户大脑中的信息。因此，理论上它不能在用户不知道（或动脑筋）的情况下被盗，但它可以被泄露，并且一旦提供信息就绝对可以被复制。
• 你拥有的东西——这是很难知道的信息，除非你拥有一个物理对象。智能卡就是一个很好的例子。从理论上讲，破解智能卡认证所需要做的就是知道硅芯片中的私钥信息。我们很难做到这一点。事实上，这太难了，以至于用户通常没有足够的知识来泄露它，攻击者通常必须保持占有。
• 你是什​​么——这是几乎不可能知道的信息，除非经过身份验证的个人实际在场。我认为这是“你拥有的东西”的一个特殊子集。你有你的身体。这一点的特殊方面是它（理论上）不能从人身上拿走。拥有“你是什么”意味着有效用户确实存在。

“你知道的东西、你拥有的东西和你是的东西”三重奏的想法是，要同时成功地窃取所有这三者的凭据是非常困难的。擅长击败一种凭证的攻击向量至少在其他一种凭证上不太擅长。

当您不将这些视为清晰明确的类别，而是将其视为模糊指南时，您的极端案例就会适当地模糊。在密码被写下来的情况下，信息仍然是密码，但它不在用户的大脑中，所以他们不会忘记它，也不会泄露给任何人。这使得它更像是“你拥有的东西”，除了它是一个非常糟糕的选择，因为攻击者很容易在不拥有凭据时使用——他们可以相对地将密码复制到一张新的纸上简单。

作为一个极端的例子，考虑一下中国印章。这些是物理印章，必须用于验证文件。它们显然是一种“你拥有的东西”类型的衡量标准。最后，认证只是信息。有人看着印在纸上的印章，并识别出特定的特质（磨损痕迹、骨折等）。从技术上讲，这可以通过简单地将所有特质放在正确的位置来解决。毕竟，这只是信息。然而，在那些日子里，如果没有物理对象，要生成这种正确的信息是极其困难的。艺术家不能简单地雕刻出符合所有怪癖的复制品。这使它不仅是“你拥有的东西”，而且是一个特别有效的例子。话虽如此，最后，

据我了解，“我拥有的东西”应该是我可以物理访问而其他人没有的东西

它不止于此。身份验证系统有其作用。
如果身份验证系统不接受任何挑战或任何秘密，而是直接使用您所拥有的东西，那么您所拥有的东西不会被简化为您知道的东西。

以安全区域为例，其中一些上锁的门只接受RFID钥匙标签。在这种情况下，系统将只接受您拥有的东西。
在另一种情况下，门除了 RFID 阅读器还配备了键盘，即使使用不同的秘密来验证同一用户的身份，您所拥有的东西也可能会减少到您知道的东西。