YubiKey

硬件密钥

YubiKey是由Yubico生產的身分認證裝置,支援一次性密碼(OTP)、公鑰加密和身分認證,以及由FIDO聯盟(FIDO U2F)開發的通用第二因素(U2F)協定。[1]它讓使用者可以透過提交一次性密碼或是使用裝置產生的公開/私密金鑰來安全地登入自己的帳戶。針對不支援一次性密碼的網站,YubiKey也可以儲存靜態密碼。[2]Facebook使用YubiKey作為員工憑證;[3]Google同時為雇員和使用者提供支援。[4][5]還有一些密碼管理器也支援YubiKey。[6][7]

Yubikey實現了基於HMAC的一次性密碼演算法英語HMAC-based One-time Password Algorithm(HOTP)和基於時間的一次性密碼演算法(TOTP),並且將本身作為一個通過USB HID協定的鍵盤來提供一次性密碼。YubiKey NEO和YubiKey 4還包含許多協定,如使用2048位元RSA橢圓曲線加密系統(ECC)p256和p384的OpenPGP卡、近場通訊(NFC)以及FIDO U2F。YubiKey允許使用者對訊息簽章、加密且同時不暴露私鑰。第4代YubiKey於2015年11月16日推出,支援4096位RSA金鑰的OpenPGP,並有PIV智慧卡英語FIPS 201PKCS11支援,還允許對Docker映像進行代碼簽章[8][9]

Yubico是一家私人公司,2007年由執行長Stina Ehrensvärd英語Stina Ehrensvärd創立,辦事處位於帕羅奧圖西雅圖斯德哥爾摩[10]Yubico技術長Jakob Ehrensvärd是原「強認證規範」的主要作者,該規範後來演變為通用第二因素(U2F)。[11]

歷史

CES 2017峰會上,YubiKey宣布推出新USB-C設計的YubiKey 4C。YubiKey 4C於2017年2月13日發布。[12]在通過USB-C連接的Android上,目前僅支援一次性密碼功能,而通用第二因素(U2F)之類的其他功能仍無法使用。[13]

ModHex

YubiKey可以發出類十六進制字母形式的密碼,目的是儘可能不受系統鍵盤設定的限制。這種字母表被稱為ModHex或Modified Hexadecimal,由字母cbdefghijklnrtuv組成,對應於十六進制數字0123456789abcdef。[14]

對YubiKey 4的安全擔憂(封閉原始碼)

Yubico已使用閉原始碼替換了YubiKey 4中全部開源組件,這使得獨立審查安全缺陷不再可能。[15]Yubico宣布已經在內部和外部審查中完成缺陷審查。Yubikey NEO仍使用開原始碼。[16]2016年5月16日,Yubico CTO Jakob Ehrensvärd發布博文對開源社群的擔憂作出回覆[17],申明公司有力的開源支援,並給出了Yubikey 4更新的理由和益處。

2017年10月,安全研究人員發現了一個安全隱患(稱為ROCA英語ROCA vulnerability),其出現在大量英飛凌(Infineon)安全晶片使用的加密程式庫中實現RSA金鑰對生成的部分。這一漏洞允許攻擊者使用公鑰重建私鑰。[18][19]所有韌體版本在4.2.6與4.3.4之間的YubiKey 4、YubiKey 4C以及YubiKey 4 nano都受到影響。[20]Yubico發布了一個檢查工具,如果檢查確認自己的Yubikey受到影響,可以免費更換。[21]

社會參與

2019年香港反對逃犯條例修訂草案運動中,對於警察濫捕及對抗爭者網路入侵的恐懼,Yubico向香港示威者贊助了500支YubiKey以用作保護示威者。Yubico表示該決定源自他們保護弱勢網際網路使用者的使命以及對言論自由的支援[22][23]

另見

參考文獻

  1. ^ Specifications Overview. FIDO Alliance. [4 December 2015]. (原始內容存檔於2018-12-09). 
  2. ^ What Is A Yubikey. Yubico. [7 November 2014]. (原始內容存檔於2015-01-31). 
  3. ^ McMillan. Facebook Pushes Passwords One Step Closer to Death. Wired. 3 October 2013 [7 November 2014]. (原始內容存檔於2021-05-07). 
  4. ^ Diallo, Amadou. Google Wants To Make Your Passwords Obsolete. Forbes. 30 November 2013 [15 November 2014]. (原始內容存檔於2017-08-18). 
  5. ^ Blackman, Andrew. Say Goodbye to the Password. The Wall Street Journal. 15 September 2013 [15 November 2014]. (原始內容存檔於2014-01-03). 
  6. ^ YubiKey Authentication. LastPass. [15 November 2014]. (原始內容存檔於2014-10-07). 
  7. ^ KeePass & YubiKey. KeePass. [15 November 2014]. (原始內容存檔於2022-03-08). 
  8. ^ Launching The 4th Generation YubiKey. Yubico. [20 November 2015]. (原始內容存檔於2018-11-30). 
  9. ^ With a Touch, Yubico, Docker Revolutionize Code Signing. Yubico. [20 November 2015]. (原始內容存檔於2018-11-30). 
  10. ^ The Team. Yubico. [12 September 2015]. (原始內容存檔於2022-05-10). 
  11. ^ History of FIDO. FIDO Alliance. [16 March 2017]. (原始內容存檔於2018-08-26). 
  12. ^ NEW YubiKey 4C featuring USB-C revealed at CES 2017 | Yubico. Yubico. 2017-01-05 [2017-09-14]. (原始內容存檔於2020-01-06) (美國英語). 
  13. ^ Can the YubiKey 4C be plugged directly into Android phones or tablets with USB-C ports? | Yubico. Yubico. [2017-09-14]. (原始內容存檔於2017-09-14) (美國英語). 
  14. ^ E, Jakob. Modhex - why and what is it?. Yubico. 12 June 2008 [6 November 2016]. (原始內容存檔於2017-11-16) (英語). 
  15. ^ Ryabitsev, Konstantin. I must, sadly, withdraw my endorsement of yubikey 4 devices (and perhaps all .... [12 November 2016]. (原始內容存檔於2019-03-22). 
  16. ^ dainnilsson commented on 11 May. [12 November 2016]. (原始內容存檔於2021-04-30). 
  17. ^ Secure Hardware vs. Open Source. [16 March 2017]. (原始內容存檔於2019-11-14). 
  18. ^ ROCA: Vulnerable RSA generation (CVE-2017-15361) [CRoCS wiki]. [2017-10-19]. (原始內容存檔於2021-03-23) (英語). 
  19. ^ NVD - CVE-2017-15361. [2017-10-19]. (原始內容存檔於2021-12-06). 
  20. ^ Infineon RSA Key Generation Issue - Customer Portal. [2017-10-19]. (原始內容存檔於2020-11-11). 
  21. ^ Infineon RSA Key Generation Issue - Customer Portal. [2017-10-19]. (原始內容存檔於2018-12-22). 
  22. ^ Swedish tech firm Yubico hands Hong Kong protesters free security keys amid fears over police tactics online. South China Morning Post. 2019-10-10 [2019-10-18]. (原始內容存檔於2022-05-10) (英語). 
  23. ^ Yubico 贊助香港抗爭者世上最強網上保安鎖匙 Yubikey | 立場新聞. 立場新聞 Stand News. [2019-10-18]. (原始內容存檔於2021-06-23) (英語). 

外部連結