ЮбиКей - YubiKey
Частный | |
Промышленность | Аппаратное обеспечение |
Основан | 2007 |
Штаб-квартира | Пало-Альто, Калифорния, Соединенные Штаты |
Ключевые люди | Стина Эренсвярд (Генеральный директор и основатель) Якоб Эренсвярд (Технический директор ) |
Интернет сайт | www |
В ЮбиКей это оборудование устройство аутентификации изготовлены по Юбико для защиты доступа к компьютерам, сетям и онлайн-сервисам, которые поддерживают одноразовые пароли, криптография с открытым ключом, и аутентификация, и Универсальный 2-й фактор (U2F) и FIDO2 протоколы [1] разработан ФИДО Альянс. Это позволяет пользователям безопасно входить в свои учетные записи, отправляя одноразовые пароли или используя пару открытого / закрытого ключей на основе FIDO, сгенерированную устройством. YubiKey также позволяет хранить статические пароли для использования на сайтах, не поддерживающих одноразовые пароли.[2] Facebook использует YubiKey для учетных данных сотрудников.[3] Google поддерживает это как для сотрудников, так и для пользователей.[4][5] Немного менеджеры паролей поддерживают YubiKey.[6][7] Yubico также производит Электронный ключ, устройство, похожее на YubiKey, но ориентированное на аутентификацию с открытым ключом.[8][9]
Yubikey реализует Алгоритм одноразового пароля на основе HMAC (HOTP) и Алгоритм одноразового пароля на основе времени (TOTP) и идентифицирует себя как клавиатуру, которая доставляет одноразовый пароль через USB HID протокол. YubiKey NEO и YubiKey 4 включают в себя такие протоколы, как Карта OpenPGP используя 1024, 2048, 3072 и 4096 бит ЮАР (для ключей размером более 2048 бит требуется GnuPG версии 2.0 или выше) и криптография на основе эллиптических кривых (ECC) p256 и p384, Связь ближнего поля (NFC) и FIDO U2F. YubiKey позволяет пользователям подписывать, шифровать и расшифровывать сообщения, не раскрывая закрытые ключи внешнему миру. YubiKey 4-го поколения был выпущен 16 ноября 2015 года. Он поддерживает OpenPGP с 4096-битными ключами RSA и PKCS # 11 Поддержка для Смарт-карты PIV, функция, которая позволяет подпись кода из Докер изображений.[10][11]
Основана в 2007 году генеральным директором Стина Эренсвярд, Yubico - это частная компания с офисами в Пало-Альто, Сиэтл, и Стокгольм.[12] Юбико технический директор, Якоб Эренсвярд, является ведущим автором оригинальной спецификации строгой аутентификации, которая стала известна как Universal 2nd Factor (U2F).[13]
Yubikey выпустила серию Yubikey 5 в 2018 году, в которой добавлена поддержка FIDO2.[14]
История
Yubico была основана в 2007 году и в ноябре того же года начала предлагать разработчикам Pilot Box.[15] Оригинальный продукт YubiKey был показан на ежегодной конференции RSA в апреле 2008 года.[16][17] в 2009 году была выпущена более прочная модель YubiKey II.[18] Название «YubiKey» происходит от японского слова «палец».[19]
YubiKey II и более поздние модели имеют два доступных «слота» для хранения двух различных конфигураций с отдельными AES секреты и другие настройки. При аутентификации первый слот используется только кратковременным нажатием кнопки на устройстве, в то время как второй слот используется при удерживании кнопки от 2 до 5 секунд.
В 2010 году Yubico начала предлагать модели YubiKey OATH и YubiKey RFID. YubiKey OATH добавил возможность генерировать одноразовые пароли из 6 и 8 символов с использованием протоколов из Инициатива по открытой аутентификации (OATH), в дополнение к 32-символьным паролям, используемым собственной схемой OTP-аутентификации Yubico. Модель Yubikey RFID включает возможность OATH, а также включает MIFARE Классический 1к определение радиочастоты чип[20] хотя это было отдельное устройство в пакете, которое нельзя было настроить с помощью обычного программного обеспечения Yubico через USB-соединение.[21]
Yubico анонсировала YubiKey Nano в феврале 2012 года, миниатюрную версию стандартного YubiKey, который был разработан таким образом, чтобы он почти полностью помещался внутри порта USB и имел только небольшую сенсорную панель для кнопки.[22] Большинство более поздних моделей YubiKey также были доступны как в стандартном, так и в «нано» размере.
В 2012 году также был представлен YubiKey Neo, который улучшил предыдущий RFID-продукт YubiKey за счет внедрения связь ближнего поля (NFC) и интегрируя ее со стороной USB устройства.[23] YubiKey Neo (и Neo-n, «нано» версия устройства) могут передавать одноразовые пароли считывателям NFC как часть настраиваемого URL-адреса, содержащегося в сообщении NFC Data Exchange Format (NDEF). Neo также может общаться с помощью CCID протокол смарт-карты в дополнение к эмуляции клавиатуры USB HID (устройство интерфейса пользователя). Режим CCID используется для Смарт-карта PIV и OpenPGP поддержка, в то время как USB HID используется для схем аутентификации с одноразовым паролем.[24]
В 2014 году YubiKey Neo был обновлен с помощью FIDO. Универсальный 2-й фактор (U2F) поддержка.[25] Позже в том же году Yubico выпустила ключ безопасности FIDO U2F, который специально включал поддержку U2F, но не содержал других одноразовых паролей, статических паролей, смарт-карт или функций NFC предыдущих YubiKeys.[8] При запуске он, соответственно, продавался по более низкой цене - всего 18 долларов, по сравнению с 25 долларами за YubiKey Standard (40 долларов за версию Nano) и 50 долларами за YubiKey Neo (60 долларов за Neo-n).[26] Некоторые из предварительных версий устройств, выпущенных Google во время разработки FIDO / U2F, сообщили о себе как «Yubico WinUSB Gnubby (gnubby1)».[27]
В апреле 2015 года компания выпустила YubiKey Edge в стандартном и нано-форм-факторах. Он занимал промежуточное положение между продуктами Neo и FIDO U2F с точки зрения функций, поскольку был разработан для обработки аутентификации OTP и U2F, но не включал поддержку смарт-карт или NFC.[28]
Семейство устройств YubiKey 4 было впервые выпущено в ноябре 2015 года с моделями USB-A как стандартного, так и нано-размера. YubiKey 4 включает в себя большинство функций YubiKey Neo, включая увеличение разрешенного размера ключа OpenPGP до 4096 бит (по сравнению с предыдущими 2048), но отказался от возможности NFC Neo.
В Выставка CES 2017, Yubico объявила о расширении серии YubiKey 4 для поддержки новых USB-C дизайн. YubiKey 4C был выпущен 13 февраля 2017 года.[29] На ОС Android через соединение USB-C, только функция одноразового пароля поддерживается ОС Android и YubiKey, с другими функциями, которые в настоящее время не поддерживаются, включая Универсальный 2-й фактор (U2F).[30] Версия 4C Nano стала доступна в сентябре 2017 года.[31]
В апреле 2018 года компания представила ключ безопасности от Yubico, свое первое устройство, реализующее новые протоколы аутентификации FIDO2, WebAuthn (который достиг W3C Статус кандидата в рекомендации в марте[32]) и Протокол от клиента к аутентификатору (CTAP, по состоянию на май 2018 года все еще разрабатывается). На момент запуска устройство доступно только в «стандартном» форм-факторе с разъемом USB-A. Как и предыдущий ключ безопасности FIDO U2F, он имеет синий цвет и имеет значок ключа на кнопке. Он отличается цифрой «2», выгравированной на пластике между кнопкой и отверстием для ключей. Он также дешевле, чем модели YubiKey Neo и YubiKey 4, при запуске стоит 20 долларов за единицу, потому что в нем отсутствуют функции OTP и смарт-карты этих предыдущих устройств, хотя он сохраняет возможности FIDO U2F.[9]
ModHex
При использовании для одноразовых паролей и сохраненных статических паролей YubiKey издает символы с использованием модифицированного шестнадцатеричного алфавита, который должен быть максимально независимым от настроек системной клавиатуры. Этот алфавит, называемый ModHex или Modified Hexadecimal, состоит из символов «cbdefghijklnrtuv», соответствующих шестнадцатеричным цифрам «0123456789abcdef».[33] Из-за того, что YubiKeys использует необработанные коды сканирования клавиатуры в режиме USB HID, могут возникнуть проблемы при использовании устройств на компьютерах, которые настроены с различными раскладками клавиатуры, такими как Дворжак. При использовании одноразовых паролей рекомендуется либо использовать функции операционной системы, чтобы временно переключиться на стандартную раскладку клавиатуры США (или аналогичную), хотя устройства YubiKey Neo и более поздние версии могут быть настроены с альтернативными кодами сканирования для соответствия раскладкам, которые несовместимы с набором символов ModHex.[34]
Аутентификация U2F в YubiKeys и Security Keys позволяет обойти эту проблему за счет использования альтернативного протокола U2FHID, который отправляет и принимает необработанные двоичные сообщения вместо кодов сканирования клавиатуры.[35] Режим CCID действует как устройство чтения смарт-карт, которое вообще не использует протоколы HID.
Проблемы с безопасностью
YubiKey 4 проблемы с закрытым источником
В примере безопасность через безвестность,[36][37] Yubico заменила все компоненты с открытым исходным кодом в YubiKey 4 на закрытый исходный код, который больше не может подвергаться независимой проверке на наличие недостатков безопасности.[38] Yubikey NEO по-прежнему используют открытый код.
16 мая 2016 года технический директор Yubico Якоб Эренсвард ответил на озабоченность сообщества разработчиков ПО с открытым исходным кодом сообщением в блоге, в котором говорится, что «мы, как производственная компания, заняли четкую позицию против внедрений, основанных на готовых компонентах, и далее верим что что-то вроде AVR коммерческого уровня или контроллера ARM непригодно для использования в продукте безопасности ".[39]
Techdirt основатель Майк Масник резко раскритиковал это решение, заявив: «Шифрование - это непросто. Почти всегда есть уязвимости и ошибки - мы много говорим об этом в последнее время. Но лучший способ исправить их - это привлечь к коду как можно больше знающих людей. возможно. А это невозможно, если исходный код закрыт ».[40]
Эти решения предполагали использование узкоспециализированного кремния, поступающего всего из нескольких источников, прошивка которого разработана с использованием предоставленных производителем эмуляторы (поскольку прошивка не может быть протестирована на реальном устройстве из-за мер против чтения и проверки). Как сам специализированный кремний, так и эмуляторы и другие инструменты, необходимые для его программирования, неизменно покрываются соглашения о неразглашении их поставщиками и недоступны для общественности или других непризнанных клиентов.
Соответственно, ключи содержат микропрограммное обеспечение, которое даже конечный пользователь не может прочитать (и, следовательно, не может проверить фактическую микропрограмму на соответствие ожидаемой микропрограмме). Кроме того, если бы прошивка могла быть прочитана, конечный пользователь по-прежнему не имел бы доступа к эмуляторам поставщика и другим инструментам, необходимым для изменения или проверки ее с помощью набор инструментов (и поэтому не может подтвердить, что исходный код компилируется для данной прошивки). Они также не могли переписать существующую или модифицированную прошивку на свой ключ или получить чистый кремний для программирования «с чистого листа», чтобы протестировать его. на месте.
ROCA-уязвимость в некоторых устройствах YubiKey 4, 4C и 4 Nano
В октябре 2017 года исследователи безопасности обнаружили уязвимость (известную как РОЦА ) в реализации ЮАР пара ключей генерация в криптографической библиотеке, используемой большим количеством Infineon чипы безопасности, которые используются в широком спектре продуктов с ключами безопасности и токенами безопасности (включая YubiKey). Уязвимость позволяет злоумышленнику восстановить закрытый ключ с помощью открытого ключа.[41][42] Все устройства YubiKey 4, YubiKey 4C и YubiKey 4 Nano в версиях с 4.2.6 по 4.3.4 были затронуты этой уязвимостью.[43] Yubico устранила эту проблему во всех поставляемых устройствах YubiKey 4, переключившись на другую функцию генерации ключей и предложив бесплатную замену для всех затронутых ключей. Предложение по замене истекло 31 марта 2019 г. В некоторых случаях проблему можно обойти, сгенерировав новые ключи вне YubiKey и импортировав их на устройство.[44]
Уменьшена начальная случайность на некоторых устройствах серии FIPS.
В июне 2019 года Yubico выпустила рекомендацию по безопасности, в которой сообщается о снижении случайности в FIPS -сертифицированные устройства с версией прошивки 4.4.2 и 4.4.4, вскоре после включения (версии 4.4.3 нет).[45] Ключи безопасности с уменьшенной случайностью могут сделать ключи более легко обнаруженными и скомпрометированными, чем ожидалось. Проблема коснулась только серии FIPS, а затем только определенных сценариев, хотя FIPS ECDSA использование было «с повышенным риском». Компания предложила бесплатную замену любых затронутых ключей.
Социальная активность
в 2019–20 протесты в Гонконге, существует серьезная озабоченность по поводу сетевой безопасности протестующих перед лицом злоупотребление властью со стороны полиции. Yubico спонсировала протестующих в Гонконге, предоставив 500 Yubikey для защиты протестующих. Компания заявляет, что это решение основано на их миссии по защите уязвимых пользователей Интернета и работе со сторонниками свободы слова.[46][47]
Смотрите также
Рекомендации
- ^ «Обзор технических характеристик». ФИДО Альянс. Получено 4 декабря 2015.
- ^ "Что такое Юбики". Юбико. Получено 7 ноября 2014.
- ^ Макмиллан (3 октября 2013 г.). «Facebook подталкивает пароли на шаг ближе к смерти». Проводной. Получено 7 ноября 2014.
- ^ Диалло, Амаду (30 ноября 2013 г.). "Google хочет сделать ваши пароли устаревшими". Forbes. Получено 15 ноября 2014.
- ^ Блэкман, Эндрю (15 сентября 2013 г.). "Попрощайтесь с паролем". Журнал "Уолл Стрит. Архивировано из оригинал 3 января 2014 г.. Получено 15 ноября 2014.
- ^ «Аутентификация YubiKey». LastPass. Получено 15 ноября 2014.
- ^ "KeePass & YubiKey". KeePass. Получено 15 ноября 2014.
- ^ а б «Yubico выпускает электронный ключ FIDO U2F». Юбико (Пресс-релиз). 2014-10-21. Получено 2018-05-05.
- ^ а б «Yubico запускает новую программу разработчика и ключ безопасности для спецификаций FIDO2 и WebAuthn W3C» (Пресс-релиз). 2018-04-10. Получено 2018-05-06.
- ^ "Запуск YubiKey 4-го поколения". Юбико. Получено 20 ноября 2015.
- ^ «С прикосновением, Yubico, Docker революционизирует подписание кода». Юбико. Получено 20 ноября 2015.
- ^ "Команда". Юбико. Получено 12 сентября 2015.
- ^ «История ФИДО». ФИДО Альянс. Получено 16 марта 2017.
- ^ «Yubico выпускает новые ключи 2FA YubiKey 5 Series, поддерживающие беспарольные FIDO2 и NFC». Полиция Android. 2018-09-24. Получено 2019-10-07.
- ^ «Yubico запускает YubiKey Pilot Box». Юбико. 2007-11-26. Архивировано из оригинал 21 февраля 2008 г.
- ^ Стив Гибсон (апрель 2008 г.). "Безопасность сейчас! Примечания к эпизоду № 141". Безопасность сейчас!. Gibson Research Corporation. Получено 2018-05-05.
- ^ Лео Лапорт и Стив Гибсон (24 апреля 2008 г.). "Эпизод # 141 - Конференция RSA 2008". Безопасность сейчас!. Gibson Research Corporation. Получено 2018-05-05.
- ^ Майк (27 августа 2009 г.). "Юбикей II - понял". Прочтите мой проклятый блог. Получено 2018-05-05.
- ^ "Информация о компании". Юбико. Получено 2020-11-30.
- ^ «RFID ЮбиКей». Магазин Юбико. Архивировано из оригинал на 2011-08-29. Получено 2018-05-05.
- ^ «RFID ЮбиКей». IDivine Technology. Получено 2018-05-05.
- ^ «Yubico запускает YubiKey Nano, самый маленький в мире токен для одноразового пароля» (Пресс-релиз). Юбико. 2012-02-28. Получено 2018-05-05.
- ^ Кларк, Сара (22 февраля 2012 г.). «Yubico представляет токен одноразового пароля, который защищает доступ к содержимому телефонов NFC». NFC мир. Получено 2018-05-05.
- ^ Клены, Дэвид (2012-12-26). «Композитное устройство YubiKey NEO». Юбико. Получено 2018-05-05.
- ^ «Yubico представляет первое в отрасли универсальное устройство 2-фактора FIDO Ready ™». Юбико (Пресс-релиз). 2014-01-06. Получено 2018-05-05.
- ^ "YubiKey Hardware". Юбико. Архивировано из оригинал на 2014-11-07.
- ^ "pamu2fcfg не поддерживает тестовые устройства".
- ^ «Yubico представляет YubiKey Edge на RSA 2015; двухфакторная аутентификация OTP и U2F в одном ключе». Юбико (Пресс-релиз). Получено 2018-05-05.
- ^ «НОВЫЙ YubiKey 4C с USB-C представлен на выставке CES 2017 | Yubico». Юбико. 2017-01-05. Получено 2017-09-14.
- ^ «Можно ли подключить YubiKey 4C напрямую к телефонам или планшетам Android с портами USB-C? | Yubico». Юбико. Получено 2017-09-14.
- ^ «Наша семья растет! YubiKey 4C Nano представлена на Microsoft Ignite». Юбико. 2017-09-25. Получено 2018-05-05.
- ^ Джонс, Майкл (20.03.2018). «Кандидат в рекомендации (CR) для спецификации веб-аутентификации». Рабочая группа W3C по веб-аутентификации. Получено 2018-05-06.
- ^ Э, Якоб (12 июня 2008 г.). «Модекс - почему и что это такое?». Юбико. Получено 6 ноября 2016.
- ^ То, Элвин (2013-07-24). «Расширение поддержки клавиатуры YubiKey». Юбико. Получено 2018-05-05.
- ^ «Спецификация протокола FIDO U2F HID». Альянс ФИДО. 2017-04-11. Получено 2018-05-06.
- ^ «Сравнение криптографических карт-ключей». LWN.net. Получено 21 сентября 2020.
- ^ «Плохие новости: пионер двухфакторной аутентификации YubiKey отказывается от PGP с открытым исходным кодом для проприетарной версии». techdirt. Получено 21 сентября 2020.
- ^ Рябицев, Константин. «К сожалению, я должен отозвать свое одобрение устройств yubikey 4 (и, возможно, всех более новых yubikey)». Google+. Архивировано из оригинал 22 марта 2019 г.. Получено 12 ноября 2016.
- ^ «Безопасное оборудование против открытого исходного кода». Yubico.com. Получено 16 марта 2017.
- ^ Масник, Майк (16 мая 2016 г.). «Плохая новость: пионер двухфакторной аутентификации YubiKey отказывается от PGP с открытым исходным кодом для проприетарной версии». Techdirt. Получено 27 марта 2020.
- ^ «ROCA: поколение уязвимых RSA (CVE-2017-15361) [CRoCS wiki]». crocs.fi.muni.cz. Получено 2017-10-19.
- ^ «NVD - CVE-2017-15361». nvd.nist.gov. Получено 2017-10-19.
- ^ «Проблема генерации ключей Infineon RSA - клиентский портал». Yubico.com. Получено 11 июн 2019.
- ^ «Рекомендации Yubico по смягчению последствий». Yubico.com. Получено 11 июн 2019.
- ^ «Рекомендации по безопасности YSA-2019-02 Снижена начальная случайность ключей FIPS». Получено 2019-06-14.
- ^ «Шведская технологическая компания Yubico вручает протестующим в Гонконге бесплатные электронные ключи на фоне опасений по поводу тактики полиции в Интернете». Южно-Китайская утренняя почта. 2019-10-10. Получено 2019-10-18.
- ^ "Юбико 贊助 香港 抗爭 者 世上 最強 網上 保安 鎖匙 Юбикей | 立場 新聞". 立場 新聞 Новости стенда (на китайском). Получено 2019-10-18.