YubiKey

Yubico Inc.

Typ	Privat
Industri	Hårdvara
Grundad	2007
Huvudkontor	Palo Alto, Kalifornien , USA
Nyckelpersoner	Stina Ehrensvärd (VD och grundare) Jakob Ehrensvärd ( CTO )
Hemsida	www .yubico .com /products /

YubiKey är en maskinvaruautentiseringsenhet tillverkad av Yubico för att skydda åtkomst till datorer, nätverk och onlinetjänster som stöder engångslösenord (OTP), kryptografi med offentlig nyckel och autentisering samt protokollen Universal 2nd Factor ( U2F) och FIDO2 utvecklad av FIDO Alliance . Det tillåter användare att säkert logga in på sina konton genom att sända engångslösenord eller använda ett FIDO-baserat offentligt/privat nyckelpar som genereras av enheten. YubiKey tillåter också att lagra statiska lösenord för användning på webbplatser som inte stöder engångslösenord. Google, Amazon, Microsoft, Twitter och Facebook använder YubiKey-enheter för att säkra anställdas konton såväl som slutanvändarkonton. Vissa lösenordshanterare stöder YubiKey. Yubico tillverkar också säkerhetsnyckeln , en liknande billigare enhet med endast FIDO2/WebAuthn och FIDO/U2F-stöd.

YubiKey implementerar den HMAC-baserade engångslösenordsalgoritmen (HOTP) och den tidsbaserade engångslösenordsalgoritmen (TOTP), och identifierar sig som ett tangentbord som levererar engångslösenordet via USB HID -protokollet. En YubiKey kan också presentera sig själv som ett OpenPGP-kort med 1024, 2048, 3072 och 4096-bitars RSA (för nyckelstorlekar över 2048 bitar krävs GnuPG version 2.0 eller högre) och elliptisk kurvkryptering (ECC) p256, p384 och mer beroende på på version , som tillåter användare att signera, kryptera och dekryptera meddelanden utan att exponera de privata nycklarna för omvärlden. Även PKCS#11- standarden stöds för att emulera ett PIV-smartkort . Den här funktionen möjliggör kodsignering av Docker- bilder samt certifikatbaserad autentisering för Microsoft Active Directory och SSH .

grundades 2007 av VD Stina Ehrensvärd och är ett privat företag med kontor i Palo Alto , Seattle och Stockholm . Yubico CTO, Jakob Ehrensvärd, är huvudförfattaren till den ursprungliga starka autentiseringsspecifikationen som blev känd som Universal 2nd Factor (U2F).

YubiKey släppte YubiKey 5-serien 2018 som lägger till stöd för FIDO2 .

Historia

Yubico grundades 2007 och började erbjuda en Pilot Box för utvecklare i november samma år. Den ursprungliga YubiKey-produkten visades vid den årliga RSA-konferensen i april 2008, och en mer robust YubiKey II-modell lanserades 2009. Yubicos förklaring av namnet "YubiKey" är att det härrör från frasen "din allestädes närvarande nyckel", och att "yubi" är det japanska ordet för finger.

YubiKey II och senare modeller har två "slots" tillgängliga för att lagra två distinkta konfigurationer med separata AES- hemligheter och andra inställningar. Vid autentisering används den första öppningen genom att endast trycka kort på knappen på enheten, medan den andra platsen används när knappen hålls intryckt i 2 till 5 sekunder.

2010 började Yubico erbjuda RFID-modellerna YubiKey OATH och YubiKey. YubiKey OATH lade till möjligheten att generera 6- och 8-teckens engångslösenord med hjälp av protokoll från Initiative for Open Authentication ( OATH), utöver de 32-teckenlösenord som används av Yubicos eget OTP-autentiseringssystem. YubiKey RFID-modellen inkluderade OATH-kapaciteten plus inkluderade också ett MIFARE Classic 1k radiofrekvensidentifieringschip, även om det var en separat enhet i paketet som inte kunde konfigureras med den vanliga Yubico-mjukvaran via en USB-anslutning.

Yubico tillkännagav YubiKey Nano i februari 2012, en miniatyriserad version av standard YubiKey som designades så att den nästan helt skulle passa in i en USB-port och bara exponera en liten pekplatta för knappen. De flesta senare modellerna av YubiKey har också funnits i både standard- och "nano"-storlekar.

2012 introducerades också YubiKey Neo, som förbättrade den tidigare YubiKey RFID-produkten genom att implementera teknik för närfältskommunikation (NFC) och integrera den med enhetens USB-sida. YubiKey Neo (och Neo-n, en "nano"-version av enheten) kan överföra engångslösenord till NFC-läsare som en del av en konfigurerbar URL som finns i ett NFC Data Exchange Format (NDEF)-meddelande. Neo kan också kommunicera med CCID -smartkortsprotokollet förutom USB HID (human interface device) tangentbordsemulering. CCID-läget används för PIV-smartkort och OpenPGP- stöd, medan USB HID används för engångslösenordsautentiseringsscheman.

Under 2014 uppdaterades YubiKey Neo med stöd för FIDO Universal 2nd Factor (U2F). Senare samma år släppte Yubico FIDO U2F-säkerhetsnyckeln, som specifikt inkluderade U2F-stöd men inget av de andra engångslösenordet, statiskt lösenord, smartkort eller NFC-funktioner från tidigare YubiKeys. Vid lanseringen såldes den på motsvarande sätt till ett lägre pris på bara $18, jämfört med $25 för YubiKey Standard ($40 för Nano-versionen) och $50 för YubiKey Neo ($60 för Neo-n). Några av de pre-release-enheter som utfärdades av Google under FIDO/U2F-utvecklingen rapporterade sig själva som "Yubico WinUSB Gnubby (gnubby1)".

I april 2015 lanserade företaget YubiKey Edge i både standard- och nanoformfaktorer. Detta passade in mellan Neo och FIDO U2F-produkterna funktionsmässigt, eftersom det var designat för att hantera OTP- och U2F-autentisering, men inte inkluderade smartkort eller NFC-stöd.

YubiKey 4-familjen av enheter lanserades först i november 2015, med USB-A-modeller i både standard- och nanostorlekar. YubiKey 4 innehåller de flesta funktionerna i YubiKey Neo, inklusive att öka den tillåtna OpenPGP-nyckelstorleken till 4096 bitar (mot föregående 2048), men släppte NFC-kapaciteten hos Neo.

På CES 2017 tillkännagav Yubico en expansion av YubiKey 4-serien för att stödja en ny USB-C- design. YubiKey 4C släpptes den 13 februari 2017. På Android OS över USB-C-anslutningen stöds endast engångslösenordsfunktionen av Android OS och YubiKey, med andra funktioner som för närvarande inte stöds, inklusive Universal 2nd Factor (U2F) . En 4C Nano-version blev tillgänglig i september 2017.

I april 2018 tog företaget ut säkerhetsnyckeln från Yubico, deras första enhet för att implementera de nya FIDO2 -autentiseringsprotokollen, WebAuthn (som nådde statusen W3C Candidate Recommendation i mars) och Client to Authenticator Protocol (CTAP). Vid lansering är enheten endast tillgänglig i "standard" formfaktor med en USB-A-kontakt. Liksom den tidigare FIDO U2F-säkerhetsnyckeln är den blå till färgen och använder en nyckelikon på knappen. Den kännetecknas av en siffra "2" etsad i plasten mellan knappen och nyckelringens hål. Den är också billigare än YubiKey Neo- och YubiKey 4-modellerna, och kostar $20 per enhet vid lanseringen eftersom den saknar OTP- och smartkortsfunktionerna för de tidigare enheterna, även om den behåller FIDO U2F-kapacitet.

Produktfunktioner

En lista över de primära funktionerna och funktionerna hos YubiKey-produkterna.

OATH OTP​
Yubico OTP​
OATH: TOTP (time)​
NFC​
Årsmodell
<a i=2>såld
<a i=4>_
_ <a i=7>_
<a i=8>_
_
_ <a i=13>_
<a i=16>_
FIDO2 _
-2 <a i=18>​NFC
<a i=19>​USB -A
​ USB
​ Lightning

ModHex

När den används för engångslösenord och lagrade statiska lösenord avger YubiKey tecken med hjälp av ett modifierat hexadecimalt alfabet som är avsett att vara så oberoende av systemtangentbordsinställningar som möjligt. Detta alfabet, som kallas ModHex eller Modified Hexadecimal, består av tecknen "cbdefghijklnrtuv", motsvarande de hexadecimala siffrorna "0123456789abcdef".

Eftersom YubiKeys använder råa tangentbordsskanningskoder i USB HID-läge, kan det uppstå problem när du använder enheterna på datorer som är inställda med olika tangentbordslayouter, såsom Dvorak . Det här problemet kan lösas genom att använda operativsystemets funktioner för att tillfälligt byta till en vanlig amerikansk tangentbordslayout (eller liknande) när du använder engångslösenord. YubiKey Neo och senare enheter kan dock konfigureras med alternativa skanningskoder för att matcha layouter som inte är kompatibla med ModHex-teckenuppsättningen.

U2F-autentisering i YubiKeys och säkerhetsnycklar kringgår detta problem genom att använda det alternativa U2FHID-protokollet, som skickar och tar emot råa binära meddelanden istället för tangentbordsskanningskoder. CCID-läget fungerar som en smartkortläsare, som inte använder HID-protokoll alls.

Säkerhetsproblem

YubiKey 4 problem med slutna källor

Det mesta av koden som körs på en YubiKey är sluten källkod. Medan Yubico har släppt en del kod för industristandardfunktioner som PGP och HOTP avslöjades det att från och med den fjärde generationen av produkten är detta inte samma kod som de nya enheterna levereras med. Eftersom nya enheter är permanent låsta med fast programvara från fabriken är det inte möjligt att kompilera den öppna källkoden och ladda den på enheten manuellt, en användare måste lita på att koden på en ny nyckel är äkta och säker.

Koden för annan funktionalitet som U2F , PIV och Modhex är helt sluten källkod.

Den 16 maj 2016 svarade Jakob Ehrensvärd, CTO för Yubico, på öppen källkodsgemenskapens oro med ett blogginlägg där han sa att "vi, som ett produktföretag, har tagit en tydlig ställning mot implementeringar baserade på färdiga komponenter och tror vidare att något som en AVR eller ARM -kontroller av kommersiell kvalitet är olämplig att användas i en säkerhetsprodukt."

Techdirts grundare Mike Masnick kritiserade starkt detta beslut och sa "Kryptering är knepigt. Det finns nästan alltid sårbarheter och buggar - en poäng som vi har gjort mycket på sistone. Men det bästa sättet att fixa dessa tenderar att vara att få så många kunniga ögon på koden som möjligt. Och det är inte möjligt när det är stängd källkod."

ROCA-sårbarhet i vissa YubiKey 4-, 4C- och 4 Nano-enheter

I oktober 2017 fann säkerhetsforskare en sårbarhet (känd som ROCA ) i implementeringen av RSA- nyckelpargenerering i ett kryptografiskt bibliotek som används av ett stort antal Infineon -säkerhetschips, som används i ett brett utbud av säkerhetsnycklar och säkerhetstokenprodukter (inklusive YubiKey). Sårbarheten tillåter en angripare att rekonstruera den privata nyckeln genom att använda den offentliga nyckeln. Alla YubiKey 4-, YubiKey 4C- och YubiKey 4 Nano-enheter inom versionerna 4.2.6 till 4.3.4 påverkades av denna sårbarhet. Yubico åtgärdade detta problem i alla leveranser av YubiKey 4-enheter genom att byta till en annan nyckelgenereringsfunktion och erbjöd gratis ersättningar för alla berörda nycklar. Ersättningserbjudandet upphörde den 31 mars 2019. I vissa fall kan problemet kringgås genom att generera nya nycklar utanför YubiKey och importera dem till enheten.

OTP-lösenordsskydd på YubiKey NEO

I januari 2018 avslöjade Yubico en måttlig sårbarhet där lösenordsskydd för OTP-funktionaliteten på YubiKey NEO kunde kringgås under vissa förhållanden. Problemet korrigerades från och med firmwareversion 3.5.0 och Yubico erbjöd gratis ersättningsnycklar till alla användare som påstod sig vara berörda.

Minskad initial slumpmässighet på vissa enheter i FIPS-serien

I juni 2019 släppte Yubico en säkerhetsrådgivning som rapporterade minskad slumpmässighet i FIPS- certifierade enheter med firmwareversion 4.4.2 och 4.4.4 (det finns ingen version 4.4.3), kort efter uppstart. Säkerhetsnycklar med minskad slumpmässighet kan göra att nycklar lättare upptäcks och äventyras än förväntat. Problemet påverkade endast FIPS-serien, och då endast vissa scenarier, även om FIPS ECDSA- användning var "i högre risk". Företaget erbjöd gratis ersättningar för alla berörda nycklar.

Social aktivism

Yubico gav 500 YubiKeys till demonstranter under protesterna i Hongkong 2019–2020 . Företaget uppger att beslutet är baserat på deras uppdrag att skydda sårbara internetanvändare och arbetar med anhängare av yttrandefrihet.

Se även

• OpenPGP-kort

externa länkar

• Officiell hemsida
• YubiKey 5 jämförelsetabell
• YubiKey FIPS jämförelsetabell