YubiKey представляет собой аппаратное устройство аутентификации производства Yubico для защиты доступа к компьютерам, сетям и онлайн - сервисов , которые поддерживает одноразовые пароли , шифрование с открытым ключом и аутентификации, а также универсальный второй фактор (u2f) и FIDO2 протоколы [1] разработан Альянсом FIDO . Это позволяет пользователям безопасно входить в свои учетные записи, отправляя одноразовые пароли или используя пару открытого / закрытого ключей на основе FIDO, сгенерированную устройством. YubiKey также позволяет хранить статические пароли для использования на сайтах, которые не поддерживают одноразовые пароли. [2] Facebook использует YubiKey для учетных данных сотрудников. [3] Google поддерживает его как для сотрудников, так и для пользователей. [4] [5] Некоторые менеджеры паролей поддерживают YubiKey. [6] [7] Yubico также производит ключ безопасности , устройство, похожее на YubiKey, но ориентированное на аутентификацию с открытым ключом. [8] [9]
Тип | Частный |
---|---|
Промышленность | Аппаратное обеспечение |
Основан | 2007 г. |
Штаб-квартира | Пало-Альто, Калифорния , США |
Ключевые люди | Стина Эренсвярд (генеральный директор и основатель) Якоб Эренсвард ( технический директор ) |
Веб-сайт | www |
Yubikey реализует основанный на HMAC алгоритм одноразового пароля (HOTP) и алгоритм одноразового пароля на основе времени (TOTP) и идентифицирует себя как клавиатуру, которая доставляет одноразовый пароль по протоколу USB HID . YubiKey NEO и YubiKey 4 включают протоколы, такие как карта OpenPGP с использованием 1024, 2048, 3072 и 4096-битного RSA (для ключей размером более 2048 бит требуется GnuPG версии 2.0 или выше) и криптографии на эллиптических кривых (ECC) p256 и p384, Связь ближнего поля (NFC) и FIDO U2F. YubiKey позволяет пользователям подписывать, шифровать и расшифровывать сообщения, не раскрывая закрытые ключи внешнему миру. 4 - го поколения YubiKey запущен 16 ноября 2015. Он поддерживает OpenPGP с 4096-битными ключами RSA и PKCS # 11 поддержка PIV смарт - карт , функция , которая позволяет кода подписи в Докер изображений. [10] [11]
Yubico - частная компания, основанная в 2007 году генеральным директором Стиной Эренсвард , с офисами в Пало-Альто , Сиэтле и Стокгольме . [12] Технический директор Yubico, Якоб Эренсвард , является ведущим автором оригинальной спецификации строгой аутентификации, которая стала известна как Universal 2nd Factor (U2F). [13]
Yubikey выпустила серию Yubikey 5 в 2018 году, в которой добавлена поддержка FIDO2 . [14]
История
Yubico была основана в 2007 году и начала предлагать Pilot Box разработчикам в ноябре того же года. [15] Оригинальный продукт YubiKey был показан на ежегодной конференции RSA в апреле 2008 года [16] [17], а в 2009 году была выпущена более надежная модель YubiKey II. [18] Название «YubiKey» происходит от японского слова для Палец. [19]
YubiKey II и более поздние модели имеют два доступных «слота» для хранения двух различных конфигураций с отдельными секретами AES и другими настройками. При аутентификации первый слот используется только кратковременным нажатием кнопки на устройстве, в то время как второй слот используется при удерживании кнопки от 2 до 5 секунд.
В 2010 году Yubico начала предлагать модели YubiKey OATH и YubiKey RFID. YubiKey OATH добавил возможность генерировать 6- и 8-символьные одноразовые пароли с использованием протоколов инициативы Open Authentication (OATH) в дополнение к 32-символьным паролям, используемым собственной схемой OTP-аутентификации Yubico. Модель Yubikey RFID включала возможность OATH, а также включала чип радиочастотной идентификации MIFARE Classic 1k [20], хотя это было отдельное устройство в пакете, которое нельзя было настроить с помощью обычного программного обеспечения Yubico через USB-соединение. [21]
Yubico анонсировала YubiKey Nano в феврале 2012 года, миниатюрную версию стандартного YubiKey, который был разработан таким образом, чтобы он почти полностью помещался внутри USB-порта и имел только небольшую сенсорную панель для кнопки. [22] Большинство более поздних моделей YubiKey также были доступны как в стандартном, так и в «нано» размере.
В 2012 году также был представлен YubiKey Neo, который улучшил предыдущий RFID-продукт YubiKey за счет реализации технологии связи ближнего поля (NFC) и интеграции ее со стороной USB устройства. [23] YubiKey Neo (и Neo-n, «нано» версия устройства) могут передавать одноразовые пароли читателям NFC как часть настраиваемого URL-адреса, содержащегося в сообщении NFC Data Exchange Format (NDEF). Neo также может обмениваться данными с использованием протокола смарт-карты CCID в дополнение к эмуляции клавиатуры USB HID (устройство интерфейса пользователя). Режим CCID используется для поддержки смарт-карт PIV и OpenPGP , а USB HID используется для схем аутентификации с одноразовым паролем. [24]
В 2014 году YubiKey Neo был обновлен с поддержкой FIDO Universal 2nd Factor (U2F). [25] Позже в том же году Yubico выпустила ключ безопасности FIDO U2F, который специально включал поддержку U2F, но не содержал других одноразовых паролей, статических паролей, смарт-карт или функций NFC предыдущих YubiKeys. [8] При запуске он, соответственно, продавался по более низкой цене - всего 18 долларов, по сравнению с 25 долларами за YubiKey Standard (40 долларов за версию Nano) и 50 долларами за YubiKey Neo (60 долларов за Neo-n). [26] Некоторые из предварительных версий устройств, выпущенных Google во время разработки FIDO / U2F, сообщали о себе как «Yubico WinUSB Gnubby (gnubby1)». [27]
В апреле 2015 года компания выпустила YubiKey Edge как в стандартном, так и в нано-форм-факторах. Он занимал промежуточное положение между продуктами Neo и FIDO U2F с точки зрения функций, поскольку он был разработан для обработки аутентификации OTP и U2F, но не включал поддержку смарт-карт или NFC. [28]
Семейство устройств YubiKey 4 было впервые выпущено в ноябре 2015 года с моделями USB-A как стандартного, так и нано-размера. YubiKey 4 включает в себя большинство функций YubiKey Neo, включая увеличение разрешенного размера ключа OpenPGP до 4096 бит (по сравнению с предыдущим 2048), но отказался от возможности NFC Neo.
На выставке CES 2017 Yubico анонсировала расширение серии YubiKey 4 для поддержки нового дизайна USB-C . YubiKey 4C был выпущен 13 февраля 2017 года. [29] В ОС Android через соединение USB-C, только функция одноразового пароля поддерживается ОС Android и YubiKey, с другими функциями, которые в настоящее время не поддерживаются, включая Universal 2nd Factor (U2F). [30] Версия 4C Nano стала доступна в сентябре 2017 года. [31]
В апреле 2018 года компания представила ключ безопасности от Yubico, их первое устройство, реализующее новые протоколы аутентификации FIDO2 , WebAuthn (который в марте получил статус кандидата в рекомендации W3C [32] ) и протокол клиент-аутентификатор (CTAP, все еще разрабатывается. по состоянию на май 2018 г.). На момент запуска устройство доступно только в «стандартном» форм-факторе с разъемом USB-A. Как и предыдущий ключ безопасности FIDO U2F, он имеет синий цвет и имеет значок ключа на кнопке. Его отличает цифра «2», выгравированная на пластике между кнопкой и отверстием для брелока. Он также дешевле, чем модели YubiKey Neo и YubiKey 4, при запуске стоит 20 долларов за единицу, потому что в нем отсутствуют функции OTP и смарт-карты этих предыдущих устройств, хотя он сохраняет возможности FIDO U2F. [9]
Особенности продукта
Список основных функций и возможностей продуктов YubiKey. [33]
Модель |
---|
Годы проданы |
OATH OTP |
Безопасные статические пароли |
Юбико ОТП |
OATH: HOTP (событие) |
OATH: TOTP (время) |
Смарт-карта (совместимая с PIV) |
OpenPGP |
FIDO U2F |
FIDO2 |
HSM общего назначения |
FIPS 140-2 |
NFC |
USB-A |
USB-C |
Молния |
ЮбиКей VIP | ЮбиКей Плюс | ЮбиКей Нано | ЮбиКей НЕО-н | YubiKey 4 Nano | ЮбиКей Эдж-н | ЮбиКей Стандарт | ЮбиХСМ 1 | Электронный ключ FIDO U2F | Электронный ключ от Yubico | ЮбиКей НЕО | YubiKey 4C Nano | YubiKey 4C | YubiKey 4 Nano | YubiKey 4 | YubiKey C Nano FIPS | YubiKey C FIPS | YubiKey Nano FIPS | YubiKey FIPS | ЮбиХСМ 2 | Электронный ключ NFC от Yubico | YubiKey 5C Nano | YubiKey 5C | YubiKey 5 Nano | YubiKey 5 NFC | YubiKey 5Ci | YubiKey 5C NFC |
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
2011-2017 | 2014-2015 | 2012-2016 | 2014-2016 | 2016-2017 | 2015-2016 | 2014-2016 | 2015-2017 | 2013-2018 гг. | 2018-2020 гг. | 2012-2018 гг. | 2017-2018 гг. | 2017-2018 гг. | 2015-2018 гг. | 2015-2018 гг. | 2018-настоящее время | 2018-настоящее время | 2018-настоящее время | 2018-настоящее время | 2017-настоящее время | 2019-настоящее время | 2018-настоящее время | 2018-настоящее время | 2018-настоящее время | 2018-настоящее время | 2019-настоящее время | 2020-настоящее время |
да | да | |||||||||||||||||||||||||
да | да | да | да | да | да | да | да | да | да | да | да | да | да | да | да | |||||||||||
да | да | да | да | да | да | да | да | да | да | да | да | да | да | да | да | |||||||||||
да | да | да | да | да | да | да | да | да | да | да | да | да | да | да | да | |||||||||||
да | да | да | да | да | да | да | да | да | да | да | да | |||||||||||||||
да | да | да | да | да | да | да | да | да | да | да | да | да | да | |||||||||||||
да | да | да | да | да | да | да | да | да | да | да | да | да | да | |||||||||||||
да | да | да | да | да | да | да | да | да | да | да | да | да | да | да | да | да | да | |||||||||
да | да | да | да | да | да | да | да | |||||||||||||||||||
да | да | |||||||||||||||||||||||||
да | да | да | да | |||||||||||||||||||||||
да | да | да | ||||||||||||||||||||||||
да | да | да | да | да | да | да | да | да | да | да | да | да | да | да | да | да | да | да | ||||||||
да | да | да | да | да | да | да | да | |||||||||||||||||||
да |
ModHex
При использовании для одноразовых паролей и сохраненных статических паролей YubiKey излучает символы с использованием модифицированного шестнадцатеричного алфавита, который должен быть максимально независимым от настроек системной клавиатуры. Этот алфавит, называемый ModHex или Modified Hexadecimal, состоит из символов «cbdefghijklnrtuv», соответствующих шестнадцатеричным цифрам «0123456789abcdef». [34] Из-за того, что YubiKeys использует необработанные коды сканирования клавиатуры в режиме USB HID, могут возникнуть проблемы при использовании устройств на компьютерах, на которых установлена другая раскладка клавиатуры, например, Dvorak . При использовании одноразовых паролей рекомендуется использовать функции операционной системы для временного переключения на стандартную раскладку клавиатуры для США (или аналогичную), хотя устройства YubiKey Neo и более поздние версии могут быть настроены с альтернативными кодами сканирования для соответствия раскладкам, которые несовместимы с набором символов ModHex. [35]
Аутентификация U2F в YubiKeys и Security Keys позволяет обойти эту проблему за счет использования альтернативного протокола U2FHID, который отправляет и принимает необработанные двоичные сообщения вместо кодов сканирования клавиатуры. [36] Режим CCID действует как устройство чтения смарт-карт, которое вообще не использует протоколы HID.
Проблемы с безопасностью
YubiKey 4 проблемы с закрытыми источниками
В качестве примера обеспечения безопасности через неясность большая часть кода, работающего на Yubikey, имеет закрытый исходный код. В то время как Yubico выпустила некоторый код для стандартных промышленных функций, таких как PGP и HOTP, было обнаружено, что с 4-го поколения продукта это не тот код, с которым поставляются новые устройства. [37] [38] Поскольку новые устройства постоянно заблокированы прошивкой на заводе, невозможно скомпилировать открытый исходный код и загрузить его на устройство вручную, пользователь должен быть уверен, что код на новом ключе является подлинным и безопасным.
Код для других функций, таких как U2F , PIV и Modhex, является полностью закрытым исходным кодом.
16 мая 2016 года технический директор Yubico Якоб Эренсвард ответил на обеспокоенность сообщества разработчиков ПО с открытым исходным кодом сообщением в блоге, в котором говорится, что «мы, как производственная компания, заняли четкую позицию против внедрений, основанных на готовых компонентах, и далее полагаем, что что что-то вроде AVR или ARM-контроллера коммерческого уровня непригодно для использования в продукте безопасности ". [39]
Основатель Techdirt Майк Масник резко раскритиковал это решение, заявив, что «шифрование - дело непростое. Почти всегда есть уязвимости и ошибки - мы много говорим об этом в последнее время. Но лучший способ исправить это - получить как можно больше знающих глаз. на код, насколько это возможно. А это невозможно, когда он закрыт ». [40]
ROCA-уязвимость в некоторых устройствах YubiKey 4, 4C и 4 Nano
В октябре 2017 года исследователи безопасности обнаружили уязвимость (известную как ROCA ) в реализации генерации пары ключей RSA в криптографической библиотеке, используемой большим количеством микросхем безопасности Infineon , которые используются в широком спектре ключей безопасности и продуктов токенов безопасности (включая ЮбиКей). Уязвимость позволяет злоумышленнику восстановить закрытый ключ, используя открытый ключ. [41] [42] Этой уязвимости подвержены все устройства YubiKey 4, YubiKey 4C и YubiKey 4 Nano в версиях с 4.2.6 по 4.3.4. [43] Yubico устранила эту проблему во всех поставляемых устройствах YubiKey 4, переключившись на другую функцию генерации ключей и предложив бесплатную замену для всех затронутых ключей. Предложение по замене закончилось 31 марта 2019 года. В некоторых случаях проблему можно обойти, сгенерировав новые ключи вне YubiKey и импортировав их на устройство. [44]
Защита паролем OTP на Yubikey NEO
В январе 2018 года Yubico обнаружила умеренную уязвимость, из-за которой парольную защиту для функции OTP на Yubikey NEO можно было обойти при определенных условиях. Проблема была исправлена в версии прошивки 3.5.0, и Yubico предложила бесплатную замену ключей любому пользователю, заявившему, что она затронута. [45]
Уменьшена начальная случайность на некоторых устройствах серии FIPS.
В июне 2019 года Yubico выпустила рекомендацию по безопасности, в которой сообщается о снижении случайности в сертифицированных FIPS устройствах с версиями прошивки 4.4.2 и 4.4.4 вскоре после включения (версии 4.4.3 нет). [46] Ключи безопасности с пониженной случайностью могут сделать ключи более легко обнаруженными и скомпрометированными, чем ожидалось. Проблема затрагивала только серию FIPS, а затем только определенные сценарии, хотя использование FIPS ECDSA «подвергалось более высокому риску». Компания предложила бесплатную замену любых затронутых ключей.
Социальная активность
Во время протестов в Гонконге в 2019–2020 годах серьезную озабоченность вызывает онлайн-безопасность протестующих перед лицом злоупотребления властью со стороны полиции . Yubico спонсировала протестующих в Гонконге, предоставив 500 Yubikey для защиты протестующих. Компания заявляет, что это решение основано на их миссии по защите уязвимых пользователей Интернета и работе со сторонниками свободы слова. [47] [48]
Смотрите также
- Карта OpenPGP
Рекомендации
- ^ «Обзор спецификаций» . Альянс ФИДО . Дата обращения 4 декабря 2015 .
- ^ "Что такое Юбики" . Юбико . Проверено 7 ноября 2014 года .
- ^ Макмиллан (3 октября 2013 г.). «Facebook подталкивает пароли на шаг ближе к смерти» . Проводной . Проверено 7 ноября 2014 года .
- ^ Диалло, Амаду (30 ноября 2013 г.). «Google хочет сделать ваши пароли устаревшими» . Forbes . Проверено 15 ноября 2014 года .
- ^ Блэкман, Эндрю (15 сентября 2013 г.). «Попрощайтесь с паролем» . Журнал "Уолл Стрит. Архивировано из оригинального 3 -го января 2014 года . Проверено 15 ноября 2014 года .
- ^ «Аутентификация YubiKey» . LastPass . Проверено 15 ноября 2014 года .
- ^ «KeePass & YubiKey» . KeePass . Проверено 15 ноября 2014 года .
- ^ а б «Yubico выпускает ключ безопасности FIDO U2F» . Юбико (пресс-релиз). 2014-10-21 . Проверено 5 мая 2018 .
- ^ а б «Yubico запускает новую программу разработчика и ключ безопасности для спецификаций FIDO2 и WebAuthn W3C» (пресс-релиз). 2018-04-10 . Проверено 6 мая 2018 .
- ^ «Запуск YubiKey 4-го поколения» . Юбико . Проверено 20 ноября 2015 года .
- ^ «С прикосновением, Юбико, Докер революционизирует подписание кода» . Юбико . Проверено 20 ноября 2015 года .
- ^ «Команда» . Юбико . Проверено 12 сентября 2015 года .
- ^ «История ФИДО» . Альянс ФИДО . Проверено 16 марта 2017 года .
- ^ «Yubico выпускает новые ключи 2FA YubiKey 5 Series, поддерживающие беспарольные FIDO2 и NFC» . Android Police . 2018-09-24 . Проверено 7 октября 2019 .
- ^ «Yubico запускает YubiKey Pilot Box» . Юбико. 2007-11-26. Архивировано из оригинала на 2008-02-21.
- ^ Стив Гибсон (апрель 2008 г.). «Безопасность сейчас! Примечания к эпизоду № 141» . Безопасность сейчас! . Гибсон Исследовательская Корпорация . Проверено 5 мая 2018 .
- ^ Лео Ляпорт и Стив Гибсон (24 апреля 2008 г.). «Эпизод # 141 - Конференция RSA 2008» . Безопасность сейчас! . Гибсон Исследовательская Корпорация . Проверено 5 мая 2018 .
- ^ Майк (27 августа 2009 г.). «Юбикей II - понял» . Прочтите мой проклятый блог . Проверено 5 мая 2018 .
- ^ «Информация о компании» . Юбико . Проверено 30 ноября 2020 .
- ^ «RFID ЮбиКей» . Магазин Юбико . Архивировано из оригинала на 2011-08-29 . Проверено 5 мая 2018 .
- ^ «RFID ЮбиКей» . IDivine Technology . Проверено 5 мая 2018 .
- ^ «Yubico запускает YubiKey Nano, самый маленький в мире токен для одноразового пароля» (пресс-релиз). Юбико. 2012-02-28 . Проверено 5 мая 2018 .
- ^ Кларк, Сара (22 февраля 2012 г.). «Yubico представляет токен одноразового пароля, который защищает доступ к содержимому телефонов NFC» . Мир NFC . Проверено 5 мая 2018 .
- ^ Кленов, Дэвид (2012-12-26). «Композитное устройство YubiKey NEO» . Юбико . Проверено 5 мая 2018 .
- ^ «Yubico представляет первое в отрасли универсальное 2-факторное устройство FIDO Ready ™» . Юбико (пресс-релиз). 2014-01-06 . Проверено 5 мая 2018 .
- ^ «ЮбиКей Фурнитура» . Юбико . Архивировано из оригинала на 2014-11-07.
- ^ «pamu2fcfg не поддерживает тестовые устройства» .
- ^ «Yubico представляет YubiKey Edge на RSA 2015; двухфакторная аутентификация OTP и U2F в одном ключе» . Юбико (пресс-релиз) . Проверено 5 мая 2018 .
- ^ «НОВЫЙ YubiKey 4C с USB-C представлен на выставке CES 2017 | Yubico» . Юбико . 2017-01-05 . Проверено 14 сентября 2017 .
- ^ «Можно ли подключить YubiKey 4C напрямую к телефонам или планшетам Android с портами USB-C? | Yubico» . Юбико . Проверено 14 сентября 2017 .
- ^ «Наша семья растет! YubiKey 4C Nano представлена на выставке Microsoft Ignite» . Юбико. 2017-09-25 . Проверено 5 мая 2018 .
- ^ Джонс, Майкл (20.03.2018). «Кандидат в рекомендации (CR) для спецификации веб-аутентификации» . Рабочая группа W3C по веб-аутентификации . Проверено 6 мая 2018 .
- ^ «Что у вас есть на YubiKey?» . Проверено 11 февраля 2021 .
- ^ Э, Якоб (12 июня 2008 г.). «Модекс - почему и что это такое?» . Юбико . Проверено 6 ноября +2016 .
- ^ То, Элвин (2013-07-24). «Расширение поддержки клавиатуры YubiKey» . Юбико . Проверено 5 мая 2018 .
- ^ «Спецификация протокола FIDO U2F HID» . Альянс ФИДО. 2017-04-11 . Проверено 6 мая 2018 .
- ^ «Сравнение криптографических карт-ключей» . LWN.net . Проверено 21 сентября 2020 года .
- ^ «Плохие новости: пионер двухфакторной аутентификации YubiKey отказывается от PGP с открытым исходным кодом для проприетарной версии» . techdirt . Проверено 21 сентября 2020 года .
- ^ «Безопасное оборудование против открытого исходного кода» . Yubico.com . Проверено 16 марта 2017 года .
- ^ Масник, Майк (16 мая 2016 г.). «Плохие новости: пионер двухфакторной аутентификации YubiKey отказывается от PGP с открытым исходным кодом для проприетарной версии» . Techdirt . Проверено 27 марта 2020 года .
- ^ «ROCA: уязвимое поколение RSA (CVE-2017-15361) [CRoCS wiki]» . crocs.fi.muni.cz . Проверено 19 октября 2017 .
- ^ «NVD - CVE-2017-15361» . nvd.nist.gov . Проверено 19 октября 2017 .
- ^ «Проблема генерации ключей Infineon RSA - клиентский портал» . Yubico.com . Проверено 11 июня 2019 .
- ^ «Рекомендации Юбико по смягчению последствий» . Yubico.com . Проверено 11 июня 2019 .
- ^ «Информационное сообщение по безопасности YSA-2018-01» . Юбико . Проверено 2021 января .
- ^ «Рекомендации по безопасности YSA-2019-02 Снижена начальная случайность ключей FIPS» . Проверено 14 июня 2019 .
- ^ «Шведская технологическая фирма Yubico раздает протестующим в Гонконге бесплатные электронные ключи на фоне опасений по поводу тактики полиции в Интернете» . Южно-Китайская утренняя почта . 2019-10-10 . Проверено 18 октября 2019 .
- ^ "Yubico 贊助 香港 抗爭 者 世上 最強 網上 保安 鎖匙 Yubikey | 立場 新聞" .立場 新聞 Stand News (на китайском языке) . Проверено 18 октября 2019 .
Внешние ссылки
- Официальный веб-сайт
- YubiKey 5 сравнительная таблица
- Таблица сравнения YubiKey FIPS