ЮбиКей

Аппаратное устройство аутентификации

Первый USB-токен YubiKey стандарта FIDO в 2014 году.

YubiKey — это аппаратное устройство аутентификации, производимое Yubico для защиты доступа к компьютерам, сетям и онлайн-сервисам , которое поддерживает одноразовые пароли (OTP), криптографию с открытым ключом и аутентификацию, а также протоколы Universal 2nd Factor (U2F) и FIDO2 . ^[1] разработан Альянсом FIDO . Оно позволяет пользователям безопасно входить в свои учетные записи, вводя одноразовые пароли или используя пару открытого/закрытого ключей на основе FIDO, сгенерированную устройством. YubiKey также позволяет хранить статические пароли для использования на сайтах, не поддерживающих одноразовые пароли. ^[2] Google, Amazon, Microsoft, Twitter и Facebook используют устройства YubiKey для защиты учетных записей сотрудников, а также учетных записей конечных пользователей. ^{[3] [4] [5]} Некоторые менеджеры паролей поддерживают YubiKey. ^{[6] [7]} Yubico также производит ключ безопасности , аналогичное недорогое устройство с поддержкой только FIDO2/WebAuthn и FIDO/U2F. ^{[8] [9]}

YubiKey реализует алгоритм одноразового пароля на основе HMAC (HOTP) и алгоритм одноразового пароля на основе времени (TOTP) и идентифицирует себя как клавиатуру, которая доставляет одноразовый пароль по протоколу USB HID . YubiKey также может представлять собой карту OpenPGP с использованием 1024, 2048, 3072 и 4096-битного RSA (для ключей размером более 2048 бит требуется GnuPG версии 2.0 или выше) и криптографии на основе эллиптических кривых (ECC) p256, p384 и более. в зависимости от версии ^[10] позволяет пользователям подписывать, шифровать и расшифровывать сообщения, не раскрывая секретные ключи внешнему миру. Также поддерживается стандарт PKCS#11 для эмуляции смарт-карты PIV . Эта функция позволяет подписывать код образов Docker , а также выполнять аутентификацию на основе сертификатов для Microsoft Active Directory и SSH . ^{[11] [12] [13] [14]}

Yubico — частная компания с офисами в Пало-Альто , Сиэтле и Стокгольме , основанная в 2007 году генеральным директором Стиной Эренсвард . ^[15] Технический директор Yubico Якоб Эренсвард — ведущий автор оригинальной спецификации строгой аутентификации, которая стала известна как Universal 2nd Factor (U2F). ^[16]

YubiKey выпустила серию YubiKey 5 в 2018 году, в которой добавлена ​​поддержка FIDO2 . ^[17]

История

Yubico была основана в 2007 году и начала предлагать Pilot Box для разработчиков в ноябре того же года. ^[18] Оригинальный продукт YubiKey был показан на ежегодной конференции RSA в апреле 2008 года, ^{[19] [20]} , а более надежная модель YubiKey II была запущена в 2009 году. ^[21] Yubico объясняет название «YubiKey» тем, что он происходит от фразы «ваш вездесущий ключ», а «юби» — это японское слово, обозначающее палец. ^[22]

YubiKey II и более поздние модели имеют два доступных «слота» для хранения двух разных конфигураций с отдельными секретами AES и другими настройками. При аутентификации первый слот используется при кратковременном нажатии кнопки на устройстве, а второй слот используется при удержании кнопки от 2 до 5 секунд.

В 2010 году Yubico начала предлагать модели YubiKey OATH и YubiKey RFID. В YubiKey OATH добавлена ​​возможность генерировать 6- и 8-значные одноразовые пароли с использованием протоколов Инициативы открытой аутентификации (OATH) в дополнение к 32-значным паролям, используемым собственной схемой аутентификации OTP Yubico. Модель YubiKey RFID включала в себя функцию OATH, а также чип радиочастотной идентификации MIFARE Classic 1k , ^[23] хотя это было отдельное устройство в комплекте, которое нельзя было настроить с помощью обычного программного обеспечения Yubico через USB-соединение. ^[24]

Yubico анонсировала YubiKey Nano в феврале 2012 года, миниатюрную версию стандартного YubiKey, которая была разработана таким образом, чтобы почти полностью помещаться внутри USB-порта и иметь лишь небольшую сенсорную панель для кнопки. ^[25] Большинство более поздних моделей YubiKey также были доступны как в стандартных, так и в «нано» размерах.

В 2012 году также был представлен YubiKey Neo, который усовершенствовал предыдущий RFID-продукт YubiKey за счет реализации технологии ближней связи (NFC) и ее интеграции с USB-стороной устройства. ^[26] YubiKey Neo (и Neo-n, «нано» версия устройства) способны передавать одноразовые пароли считывателям NFC как часть настраиваемого URL-адреса, содержащегося в сообщении формата обмена данными NFC (NDEF). Neo также может взаимодействовать с использованием протокола смарт-карт CCID в дополнение к эмуляции клавиатуры USB HID (устройство с интерфейсом человека). Режим CCID используется для смарт-карт PIV и поддержки OpenPGP , а режим USB HID используется для схем аутентификации с одноразовым паролем. ^[27]

В 2014 году YubiKey Neo был обновлен с поддержкой FIDO Universal 2nd Factor (U2F). ^[28] Позже в том же году Yubico выпустила ключ безопасности FIDO U2F, который, в частности, включал поддержку U2F, но не включал ни одного другого одноразового пароля, статического пароля, смарт-карты или функций NFC предыдущих YubiKeys. ^[8] На момент запуска он, соответственно, продавался по более низкой цене — всего 18 долларов США по сравнению с 25 долларами США за YubiKey Standard (40 долларов США за версию Nano) и 50 долларами США за YubiKey Neo (60 долларов США за Neo-n). ^[29] Некоторые из предварительных версий устройств, выпущенных Google во время разработки FIDO/U2F, обозначались как «Yubico WinUSB Gnubby (gnubby1)». ^[30]

В апреле 2015 года компания выпустила YubiKey Edge как в стандартном, так и в нано-форм-факторе. По функциям он занимал промежуточное положение между продуктами Neo и FIDO U2F, поскольку был разработан для обработки аутентификации OTP и U2F, но не включал поддержку смарт-карт или NFC. ^[31]

Семейство устройств YubiKey 4 было впервые выпущено в ноябре 2015 года и включало модели USB-A как стандартного, так и наноразмера. YubiKey 4 включает в себя большинство функций YubiKey Neo, в том числе увеличение разрешенного размера ключа OpenPGP до 4096 бит (по сравнению с предыдущим 2048), но лишен возможности NFC Neo.

На выставке CES 2017 Yubico объявила о расширении серии YubiKey 4 за счет поддержки нового дизайна USB-C . YubiKey 4C был выпущен 13 февраля 2017 года. ^[32] В ОС Android через соединение USB-C ОС Android и YubiKey поддерживают только функцию одноразового пароля, а другие функции в настоящее время не поддерживаются, включая универсальный 2-й фактор. (У2Ф). ^[33] Версия 4C Nano стала доступна в сентябре 2017 года. ^[34]

В апреле 2018 года компания представила ключ безопасности от Yubico, свое первое устройство, реализующее новые протоколы аутентификации FIDO2 , WebAuthn (который достиг статуса кандидатской рекомендации W3C в марте ^[35] ) и протокол клиент-аутентификатор (CTAP). На момент запуска устройство доступно только в «стандартном» форм-факторе с разъемом USB-A. Как и предыдущий ключ безопасности FIDO U2F, он синего цвета и имеет значок ключа на кнопке. Его отличает цифра «2», выгравированная на пластике между кнопкой и отверстием для брелока. Он также дешевле, чем модели YubiKey Neo и YubiKey 4: его стоимость на момент запуска составляет 20 долларов за единицу, поскольку в нем отсутствуют функции OTP и смарт-карт этих предыдущих устройств, хотя он сохраняет возможности FIDO U2F. ^[9]

Особенности продукта

Список основных функций и возможностей продуктов YubiKey. ^[36]

МодХекс

При использовании для одноразовых паролей и сохраненных статических паролей YubiKey генерирует символы с использованием модифицированного шестнадцатеричного алфавита, который должен быть максимально независимым от настроек системной клавиатуры. Этот алфавит называется ModHex и состоит из символов «cbdefghijklnrtuv», соответствующих шестнадцатеричным цифрам «0123456789abcdef». ^[37]

Поскольку YubiKeys использует необработанные коды сканирования клавиатуры в режиме USB HID, могут возникнуть проблемы при использовании устройств на компьютерах, на которых настроены разные раскладки клавиатуры, например Dvorak . ModHex был создан, чтобы избежать конфликтов между разными раскладками клавиатуры. Он использует только символы, которые расположены в одном и том же месте на большинстве клавиатур с латинским алфавитом, но по-прежнему состоит из 16 символов, что позволяет использовать его вместо шестнадцатеричного. ^[38] Альтернативно эту проблему можно решить, используя функции операционной системы для временного переключения на стандартную раскладку клавиатуры США (или аналогичную) при использовании одноразовых паролей. Однако устройства YubiKey Neo и более поздние версии могут быть настроены с использованием альтернативных кодов сканирования для соответствия раскладкам, несовместимым с набором символов ModHex. ^[39]

Эта проблема относится только к продуктам YubiKey в режиме HID, где они должны имитировать ввод с клавиатуры. Аутентификация U2F в продуктах YubiKey позволяет обойти эту проблему за счет использования альтернативного протокола U2FHID, который отправляет и получает необработанные двоичные сообщения вместо кодов сканирования клавиатуры. ^[40] Режим CCID действует как устройство чтения смарт-карт, которое вообще не использует протоколы HID.

Проблемы с безопасностью

Проблемы с закрытым исходным кодом YubiKey 4

Большая часть кода, который работает на YubiKey, имеет закрытый исходный код. Хотя Yubico выпустила некоторый код для стандартных функций отрасли, таких как PGP и HOTP , выяснилось, что начиная с 4-го поколения продукта это не тот код, с которым поставляются новые устройства. ^{[41] [42]} Поскольку новые устройства постоянно заблокированы прошивкой на заводе, невозможно скомпилировать открытый исходный код и загрузить его на устройство вручную, пользователь должен быть уверен, что код на новом ключе является подлинным и безопасным.

Код для других функций, таких как U2F , PIV и Modhex, имеет полностью закрытый исходный код.

16 мая 2016 года технический директор Yubico Якоб Эренсвард отреагировал на обеспокоенность сообщества разработчиков программного обеспечения с открытым исходным кодом сообщением в блоге, в котором говорилось, что «мы, как продуктовая компания, заняли четкую позицию против реализаций, основанных на готовых компонентах, и далее считаем, что что что-то вроде AVR или ARM -контроллера коммерческого уровня непригодно для использования в продуктах безопасности». ^[43]

Основатель Techdirt Майк Масник резко раскритиковал это решение, заявив: «Шифрование — это сложно. Почти всегда есть уязвимости и ошибки — на эту тему мы много говорим в последнее время. Но лучший способ исправить это — привлечь как можно больше знающих глаз». в коде, насколько это возможно. А это невозможно, если исходный код закрыт». ^[44]

Уязвимость ROCA в некоторых устройствах YubiKey 4, 4C и 4 Nano

В октябре 2017 года исследователи безопасности обнаружили уязвимость (известную как ROCA ) в реализации генерации пары ключей RSA в криптографической библиотеке, используемой большим количеством микросхем безопасности Infineon , а также в широком спектре ключей безопасности и продуктов токенов безопасности (включая ЮбиКей). Уязвимость позволяет злоумышленнику восстановить закрытый ключ, используя открытый ключ. ^{[45] [46]} Все устройства YubiKey 4, YubiKey 4C и YubiKey 4 Nano в версиях с 4.2.6 по 4.3.4 были подвержены этой уязвимости. ^[47] Компания Yubico устранила эту проблему на всех поставляемых устройствах YubiKey 4, переключившись на другую функцию генерации ключей и предложив бесплатную замену любых затронутых ключей до 31 марта 2019 года. В некоторых случаях проблему можно обойти, создав новые ключи за пределами компании. YubiKey и импортируйте их на устройство. ^[48]

Защита паролем OTP на YubiKey NEO

В январе 2018 года Yubico обнаружила умеренную уязвимость, позволяющую обойти защиту паролем для функции OTP на YubiKey NEO при определенных условиях. Проблема была исправлена ​​в версии прошивки 3.5.0, и Yubico предлагала бесплатную замену ключей любому пользователю, заявившему, что она затронута, до 1 апреля 2019 года. ^[49]

Уменьшена начальная случайность на некоторых устройствах серии FIPS.

В июне 2019 года Yubico выпустила рекомендации по безопасности, сообщающие об уменьшении случайности в устройствах, сертифицированных по FIPS , с прошивкой версий 4.4.2 и 4.4.4 (версии 4.4.3 нет), вскоре после включения питания. ^[50] Ключи безопасности с пониженной случайностью могут привести к тому, что ключи будет легче обнаружить и скомпрометировать, чем ожидалось. Проблема затронула только серию FIPS, а затем только определенные сценарии, хотя использование FIPS ECDSA находилось «под повышенным риском». Компания предлагала бесплатную замену любых затронутых ключей.

Социальный активизм

В 2018 году Yubico бесплатно раздала YubiKeys с логотипами, выгравированными лазером, новым подписчикам WIRED и ArsTechnica. ^[51]

Yubico предоставила 500 ключей YubiKey протестующим во время протестов в Гонконге в 2019–2020 годах . Компания заявляет, что решение основано на их миссии по защите уязвимых пользователей Интернета и работе со сторонниками свободы слова . ^{[52] [53]}

Смотрите также

• Альянс ФИДО
• Нитрокей
• карта OpenPGP

Рекомендации

1. «Обзор технических характеристик» . Альянс ФИДО . Проверено 4 декабря 2015 г.
2. "Что такое Юбикей" . Юбико . Проверено 7 ноября 2014 г.
3. Макмиллан (3 октября 2013 г.). «Facebook приближает пароли на шаг ближе к смерти» . Проводной . Проверено 7 ноября 2014 г.
4. Диалло, Амаду (30 ноября 2013 г.). «Google хочет сделать ваши пароли устаревшими». Форбс . Проверено 15 ноября 2014 г.
5. Блэкман, Эндрю (15 сентября 2013 г.). «Попрощайся с паролем». Журнал "Уолл Стрит. Архивировано из оригинала 3 января 2014 года . Проверено 15 ноября 2014 г.
6. «Аутентификация YubiKey» . ЛастПасс . Проверено 15 ноября 2014 г.
7. "KeePass и YubiKey". КиПасс . Проверено 15 ноября 2014 г.
8. «Yubico выпускает ключ безопасности FIDO U2F» . Юбико (Пресс-релиз). 21 октября 2014 г. Проверено 5 мая 2018 г.
9. «Yubico запускает новую программу разработчика и ключ безопасности для спецификаций FIDO2 и WebAuthn W3C» (пресс-релиз). 10 апреля 2018 г. Проверено 06 мая 2018 г.
10. https://support.yubico.com/hc/en-us/articles/360016649139-YubiKey-5-2-Enhancements-to-OpenPGP-3-4-Support#h.17w9cagj5zl8
11. «Запуск YubiKey 4-го поколения» . Юбико . Проверено 20 ноября 2015 г.
12. «Прикосновением, Yubico, Docker произвели революцию в подписании кода» . Юбико . Проверено 20 ноября 2015 г.
13. «Настройка Windows Server для аутентификации YubiKey PIV» . Юбико . Проверено 6 июня 2021 г.
14. «Сертификаты пользователя SSH» . Developers.yubico.com . Проверено 6 июня 2021 г.
15. «Команда». Юбико . Проверено 12 сентября 2015 г.
16. «История ФИДО». Альянс ФИДО . Проверено 16 марта 2017 г.
17. «Yubico запускает новые ключи YubiKey 5 Series 2FA, поддерживающие беспарольные FIDO2 и NFC» . Андроид Полиция . 24 сентября 2018 г. Проверено 7 октября 2019 г.
18. «Yubico запускает пилотный блок YubiKey» . Юбико. 26 ноября 2007 г. Архивировано из оригинала 21 февраля 2008 г. Проверено 06 мая 2018 г.
19. Стив Гибсон (апрель 2008 г.). «Безопасность сейчас! Примечания к серии № 141». Безопасность сейчас! . Исследовательская корпорация Гибсон . Проверено 5 мая 2018 г.
20. Лео Лапорт и Стив Гибсон (24 апреля 2008 г.). «Эпизод № 141 - Конференция RSA 2008». Безопасность сейчас! . Исследовательская корпорация Гибсон . Проверено 5 мая 2018 г.
21. Майк (27 августа 2009 г.). «Юбикей II – понял». Прочтите мой чертов блог . Проверено 5 мая 2018 г.
22. «Информация о компании». Юбико . Проверено 30 ноября 2020 г.
23. "RFID YubiKey" . Магазин Юбико . Архивировано из оригинала 29 августа 2011 г. Проверено 5 мая 2018 г.
24. "RFID YubiKey" . Божественная технология . Проверено 5 мая 2018 г.
25. «Yubico запускает YubiKey Nano, самый маленький в мире токен для одноразового пароля» (пресс-релиз). Юбико. 28 февраля 2012 г. Проверено 5 мая 2018 г.
26. Кларк, Сара (22 февраля 2012 г.). «Yubico представляет токен одноразового пароля, который обеспечивает доступ к содержимому телефонов NFC». НФЦ Мир . Проверено 5 мая 2018 г.
27. Мэйплс, Дэвид (26 декабря 2012 г.). «Композитное устройство YubiKey NEO». Юбико . Проверено 5 мая 2018 г.
28. «Yubico представляет первое в отрасли универсальное 2-факторное устройство FIDO Ready™» . Юбико (Пресс-релиз). 06.01.2014 . Проверено 5 мая 2018 г.
29. "Оборудование YubiKey" . Юбико . Архивировано из оригинала 07.11.2014.
30. «pamu2fcfg не поддерживает тестовые устройства» . Гитхаб .
31. «Yubico запускает YubiKey Edge на RSA 2015; двухфакторная аутентификация OTP и U2F в одном ключе» . Юбико (Пресс-релиз) . Проверено 5 мая 2018 г.
32. «НОВЫЙ YubiKey 4C с USB-C представлен на выставке CES 2017 | Yubico» . Юбико . 05.01.2017 . Проверено 14 сентября 2017 г.
33. «Можно ли подключить YubiKey 4C напрямую к телефонам или планшетам Android с портами USB-C? | Yubico» . Юбико . Архивировано из оригинала 14 сентября 2017 г. Проверено 14 сентября 2017 г.
34. «Наша семья растет! YubiKey 4C Nano представлен на Microsoft Ignite» . Юбико. 25 сентября 2017 г. Проверено 5 мая 2018 г.
35. Джонс, Майкл (20 марта 2018 г.). «Кандидатская рекомендация (CR) для спецификации веб-аутентификации». Рабочая группа W3C по веб-аутентификации . Проверено 06 мая 2018 г.
36. «Какой YubiKey у вас есть» . Проверено 11 февраля 2021 г.
37. Э, Якоб (12 июня 2008 г.). «Модекс – зачем и что это такое?». Юбико. Архивировано из оригинала 16 ноября 2017 года . Проверено 6 ноября 2016 г.
38. «Модифицированная шестнадцатеричная кодировка (ModHex)» . docs.yubico.com . Проверено 1 сентября 2023 г.
39. Тох, Элвин (24 июля 2013 г.). «Расширение поддержки клавиатуры YubiKey». Юбико . Проверено 5 мая 2018 г.
40. «Спецификация протокола FIDO U2F HID» . Альянс ФИДО. 11 апреля 2017 г. Проверено 06 мая 2018 г.
41. «Сравнение криптографических карт-ключей». LWN.net . Проверено 21 сентября 2020 г.
42. «Плохие новости: пионер двухфакторной аутентификации YubiKey отказывается от PGP с открытым исходным кодом в пользу проприетарной версии» . техгрязь . Проверено 21 сентября 2020 г.
43. «Безопасное оборудование против открытого исходного кода». Юбико.com . Проверено 18 сентября 2022 г.
44. Масник, Майк (16 мая 2016 г.). «Плохие новости: пионер двухфакторной аутентификации YubiKey отказывается от PGP с открытым исходным кодом в пользу проприетарной версии» . Техдирт . Проверено 27 марта 2020 г.
45. «ROCA: уязвимое поколение RSA (CVE-2017-15361) [CRoCS wiki]» . crocs.fi.muni.cz . Проверено 19 октября 2017 г.
46. «ПНВ — CVE-2017-15361» . nvd.nist.gov . Проверено 19 октября 2017 г.
47. «Проблема с генерацией ключей Infineon RSA — клиентский портал» . Юбико.com . Проверено 11 июня 2019 г.
48. «Рекомендации по смягчению последствий Yubico» . Юбико.com . Проверено 11 июня 2019 г.
49. «Рекомендации по безопасности YSA-2018-01» . Юбико . Проверено 4 января 2021 г.
50. «Рекомендации по безопасности YSA-2019-02 Уменьшена начальная случайность ключей FIPS» . Проверено 14 июня 2019 г.
51. Мэннинг, Ронни (01 февраля 2018 г.). «Эксперты WIRED и Ars Technica выбирают YubiKey 4 для новых подписчиков» . Юбико . Проверено 1 сентября 2023 г.
52. «Шведская технологическая фирма Yubico раздает протестующим в Гонконге бесплатные ключи безопасности на фоне опасений по поводу тактики полиции в Интернете» . Южно-Китайская Морнинг Пост . 10.10.2019 . Проверено 18 октября 2019 г.
53. "Yubico 贊助香港抗爭者世上最強網上保安鎖匙 Yubikey | 立場新聞".立場新聞 Стенд News (на китайском языке) . Проверено 18 октября 2019 г.

Внешние ссылки

• Официальный веб-сайт