YubiKey
YubiKey (ЮбиКей) — это аппаратный ключ безопасности, производимый компанией Yubico, который поддерживает протокол универсальной двухфакторной аутентификации, одноразовые пароли и асимметричное шифрование. Это позволяет пользователям выполнять безопасный вход в учётные записи, при помощи вырабатываемых одноразовых паролей, или с использованием открытых/закрытых ключевых пар, генерируемых на устройстве. YubiKey также позволяет хранить статические пароли для использования на сайтах, которые не поддерживают одноразовые пароли. Компании Facebook и Google используют YubiKey для аутентификации сотрудников и пользователей. Некоторые менеджеры паролей также поддерживают ключи YubiKey. Среди ассортимента USB-ключей от Yubico присутствует Security Key — устройство подобное YubiKey, но рассчитанное для аутентификации с использованием открытых ключей FIDO U2F и FIDO2.
Ключи YubiKey применяют алгоритмы HOTP и TOTP, посредством эмуляции клавиатуры по протоколу USB HID. YubiKey NEO и серия YubiKey 4 включают поддержку протоколов, таких как OpenPGP смарт-карта с использованием 2048-битной RSA и эллиптической криптографии (p256, p384), FIDO U2F, и NFC. Ключи YubiKey позволяют пользователям подписывать, шифровать и расшифровывать сообщения без передачи закрытых ключей сторонним лицам и программному обеспечению. 4-е поколение YubiKey было запущено в работу 16-го ноября, 2015 г. Эти устройства поддерживают OpenPGP с 4096-битными ключами RSA, и PKCS#11 для PIV-совместимых смарт-карт — функции, которые позволяют проводить подпись исполняемого кода образов Docker.
Компанию Yubico в 2007-м году основала Стина Эренсверд (генеральный директор). Это частная компания с офисами в Пало-Альто, Сиэтле, и Стокгольме. Главный инженер Yubico — Якоб Эренсверд — ведущий автор оригинальных спецификаций надёжной аутентификации, которая стала известна как универсальная двухфакторная аутентификация (U2F).
История
Компания Yubico была основана в 2007-м году и начала свою деятельность с поставок Pilot Box разработчикам, в ноябре того же года. Оригинальный продукт YubiKey был представлен на ежегодной конференции RSA, в апреле 2008 г., а более надёжная модель YubiKey II была запущена в производство в 2009 г.
Yubikey II и более поздние модели имеют два слота данных, для хранения двух различных конфигураций с раздельными AES секретами и прочими настройками. Во время аутентификации первый слот используется при коротком нажатии на кнопку устройства, в то время как второй слот используется при нажатии на кнопку на протяжении от 2 до 5 секунд.
В 2010 г., Yubico начали предлагать модели ключей YubiKey OATH и YubiKey RFID. К модели YubiKey OATH была добавлена возможность генерации шести- и восьмизначных одноразовых паролей при помощи протоколов от OATH, вдобавок к 32-х значным паролям, используемым собственной OTP схемой Yubico. Модель YubiKey RFID включала в себя функции OATH с добавленным RFID MIFARE Classic 1k чипом. Однако, это было отдельное устройство в таком исполнении, в котором не было возможности производить настройку по USB с помощью штатного ПО от Yubico.
В феврале 2012 г., Yubico представили YubiKey Nano — миниатюрную версию стандартного YubiKey, которая была разработана для того, чтобы целиком вмещаться внутри USB порта, с выступающей наружу небольшой площадкой для касания. Большинство следующих моделей были доступны как в стандартном, так и в «nano» исполнении.
2012 г. был также ознаменован презентацией модели YubiKey Neo, которая являлась развитием идей продукта YubiKey RFID, со встроенной поддержкой технологии NFC совмещённой с форм-фактором USB устройства. YubiKey Neo (А также Neo-n, «nano» версия продукта) имеют возможность передавать NFC считывателям одноразовые пароли, как часть настраиваемых URL,содержащихся в сообщениях формата NFC Data Exchange Format (NDEF). Вдобавок к USB HID эмуляции клавиатуры, модель Neo также поддерживает функцию связи по протоколу CCID. Режим CCID используется для работы с PIV-совместимыми смарт-картами и поддержки OpenPGP, в то время как USB HID используется для аутентификации по схеме с одноразовыми паролями.
В 2014 г., ключи YubiKey Neo были обновлены для поддержки универсальной двухфакторной аутентификации (FIDO U2F). Позднее, этого года, Yubico выпустили FIDO U2F Security Key, который включал поддержку U2F, но уже без поддержки прочих функций одноразовых паролей, статических паролей, смарт-карты, или NFC, включённых в предыдущих моделях YubiKey. При запуске в продажу, эти ключи продавались по более низкой цене ($18), относительно цен на YubiKey Standard ($25, и $40 за «nano» версию) и YubiKey Neo ($50, $60 за Neo-n).
В апреле 2015 г., компания запустила в производство YubiKey Edge, в стандартном и «nano» форм-факторах. Данная модель, по поддерживаемым функциям, заняла нишу между продуктами Neo и FIDO U2F, поскольку была разработана для работы с одноразовыми паролями и U2F аутентификацией, но не включала поддержку смарт-карт или NFC.
Серия YubiKey 4 появилась на рынке в ноябре 2015 г., и состояла из USB-A моделей стандартного и «nano» размеров. YubiKey 4 включает в себя большинство функций YubiKey Neo, позволяя использовать OpenPGP ключи длиной до 4096 бит (против используемых ранее 2048 бит), но уже без поддержки NFC.
На международной выставке CES 2017, Yubico представили расширенную серию ключей YubiKey 4, с добавленным USB-C дизайном. YubiKey 4C был выпущен 13-го февраля, 2017 г. В Android OS, по подключению через USB-C, доступны только функции одноразовых паролей, прочие функции, включая U2F, на данный момент не поддерживаются. Версия ключей 4C Nano стала доступна в сентябре 2017 г.
В апреле 2018 г., компания представила Security Key от Yubico, в котором были впервые воплощены новые протоколы аутентификации FIDO2 — WebAuthn (который в марте приобрёл статус кандидата на рекомендацию W3C), и CTAP (находится в разработке, по сост. на окт. 2018 г.) Устройство доступно в стандартном форм-факторе с USB-A типом подключения. Как и предыдущая модель FIDO U2F Security Key, устройство имеет корпус голубого цвета и кнопку со значком изображающим ключ. Отличительной особенностью является номер «2», выгравированный на пластике между кнопкой и отверстием для кольца с ключами. Данная модель также является недорогой относительно моделей YubiKey Neo и YubiKey 4, при стоимости $20 за шт. в момент поступления в продажу. У данных ключей отсутствует поддержка одноразовых паролей и функций смарт-карты, как у более дорогих моделей, однако устройство поддерживает FIDO U2F.
23-го сентября 2018 г., было представлено 5-е поколение ключей — YubiKey 5. Данная серия отличается от предшествующей поддержкой протоколов FIDO2 / WebAuthn с возможностью беспарольной аутентификации, и моделью с поддержкой NFC — YubiKey 5 NFC, которая заменила собой YubiKey Neo. Серия YubiKey 5 состоит из четырёх ключей, с одинаковой поддержкой криптографических протоколов, но исполненных в разных форм-факторах: YubiKey 5 NFC (USB-A, NFC), YubiKey 5 Nano (USB-A), YubiKey 5C (USB-C), и YubiKey 5C Nano (USB-C).
В октябре 2021 г. была представлена YubiKey Bio Series - FIDO Edition, серия ключей со сканером отпечатка пальца, в двух вариантах, с разъём USB-A и USB-C[1].
ModHex
При использовании одноразовых и сохранённых статических паролей YubiKey вырабатывает символы, используя модифицированный шестнадцатеричный алфавит, который рассчитан быть максимально независимым от системных настроек клавиатуры. Этот алфавит, называемый ModHex или Modified Hexadecimal, состоит из символов «cbdefghijklnrtuv», соответствующим шестнадцатеричным числам «0123456789abcdef». В связи с тем, что ключи YubiKey в режиме USB HID используют скан-коды, могут возникнуть проблемы при использовании ключей на компьютерах с отличающейся раскладкой клавиатуры, напр. Dvorak. При использовании одноразовых паролей рекомендуется временно изменить настройки системы на стандартную US раскладку клавиатуры (или подобную). Тем не менее, YubiKey Neo и более поздние модели могут быть настроены на использование альтернативных скан-кодов, чтобы соответствовать раскладке, несовместимой с ModHex.
U2F аутентификация при помощи ключей серий YubiKey и Security Key обходит эту проблему, используя альтернативный протокол U2F HID, который отправляет и принимает двоичные данные без использования клавиатурных скан-кодов. CCID режим работает в качестве считывателя смарт-карт и вовсе не использует HID протокол.
Соображения безопасности YubiKey 4
Yubico в серии ключей YubiKey 4 заменили все открытые компоненты на таковые с закрытым исходным кодом, которые более не доступны для независимого исследования на предмет уязвимостей. Yubico заявляет, что все внутренние и внешние ревизии их кода завершены. Ключи YubiKey Neo по-прежнему используют открытый исходный код. 16-го мая, 2016 г. главный инженер Yubico — Якоб Эренсверд — в публикации в блоге ответил на обеспокоенность общественности открытого ПО, подтверждая готовность компании поддерживать открытый исходный код, и объяснил причины и преимущества обновлений внедрённых в YubiKey 4.
В октябре 2017 г. исследователи безопасности нашли уязвимость (известную как ROCA) в криптографической библиотеке генерации RSA ключевых пар, используемой большим количеством чипов безопасности от Infineon. Уязвимость позволяет реконструировать закрытый ключ при помощи открытого ключа. Все ключи YubiKey 4, YubiKey 4C, и YubiKey 4 Nano с ревизиями от 4.2.6 до 4.3.4 подвержены этой уязвимости. Yubico предоставили в свободный доступ ПО для проверки уязвимости YubiKey, и производили бесплатную замену ключей безопасности.
FIDO2 беспарольная аутентификация
FIDO2 — это беспарольное развитие стандарта универсальной двухфакторной аутентификации (FIDO U2F), разработанное Yubico и Google. В то время, как протокол U2F основывается на именах пользователя и паролях, FIDO2 имеет более широкий выбор вариантов применения, включая беспарольную аутентификацию. Yubico, в тесном сотрудничестве с Microsoft, работали над созданием технических спецификаций, а Security Key от Yubico является самым первым на рынке устройством аутентификации с поддержкой FIDO2. В сентябре 2018 г., поддержка FIDO2 / WebAuthn была включена в линейку ключей безопасности YubiKey 5.
Список поддерживаемых сервисов/платформ
- Binance
- Bitfinex
- BitMEX
- Bitwarden
- Bitbucket
- Compose
- Dashlane
- Digidentity/GOV.UK Verify
- Dropbox
- Fastmail
- GitLab
- GitHub
- Kraken
- LastPass
- macOS 10.12 Sierra и выше
- Mail.ru
- Mailbox.org
- Micro Focus
- Nextcloud
- Okta
- Overbit
- Password Safe
- Posteo
- Salesforce
- Sentry
- Stripe
- Thexyz
- Vanguard
- Pluggable Authentication Modules (PAM)
- Microsoft Windows Server 2008 R2 и более поздние серверы, Microsoft Windows 7 и более поздние клиенты.
- KeePass
- KeePassXC
- Versasec vSEC:CMS
Примечания
- YubiKey Bio Series - FIDO Edition (англ.).