YubiKey
YubiKey是由Yubico生产的身份认证设备,支持一次性密码(OTP)、公钥加密和身份认证,以及由FIDO联盟(FIDO U2F)开发的通用第二因素(U2F)协议。[1]它讓用户可以透过提交一次性密碼或是使用设备產生的公開/私密金钥来安全地登录自己的帐户。针对不支持一次性密码的网站,YubiKey也可以存储静态密码。[2]Facebook使用YubiKey作为员工凭证;[3]Google同时为雇员和用户提供支援。[4][5]還有一些密码管理器也支持YubiKey。[6][7]
Yubikey实现了基于HMAC的一次性密码算法(HOTP)和基于时间的一次性密码算法(TOTP),并且將本身作为一个通过USB HID协议的键盘來提供一次性密码。YubiKey NEO和YubiKey 4还包含许多协议,如使用2048位RSA和椭圆曲线加密系统(ECC)p256和p384的OpenPGP卡、近场通信(NFC)以及FIDO U2F。YubiKey允许用户对消息签名、加密且同时不暴露私钥。第4代YubiKey于2015年11月16日推出,支持4096位RSA密钥的OpenPGP,并有PIV智能卡的PKCS11支持,还允许对Docker映像进行代码签名。[8][9]
Yubico是一家私人公司,2007年由首席执行官Stina Ehrensvärd创立,办事处位于帕羅奧圖、西雅圖和斯德哥尔摩。[10]Yubico首席技术官Jakob Ehrensvärd是原“强认证规范”的主要作者,该规范后来演变为通用第二因素(U2F)。[11]
目录
1 历史
2 ModHex
3 对YubiKey 4的安全担忧(封闭源代码)
4 已支持的服务或平台
5 另见
6 参考文献
7 外部链接
历史
在CES 2017峰会上,YubiKey宣布推出新USB-C设计的YubiKey 4C。YubiKey 4C于2017年2月13日发布。[12]在通过USB-C连接的Android上,目前仅支持一次性密码功能,而通用第二因素(U2F)之類的其他功能仍無法使用。[13]
ModHex
YubiKey可以发出类十六进制字母形式的密码,目的是尽可能不受系统键盘设置的限制。这种字母表被称为ModHex或Modified Hexadecimal,由字母cbdefghijklnrtuv组成,对应于十六进制数字0123456789abcdef。[14]
对YubiKey 4的安全担忧(封闭源代码)
Yubico已使用闭源代码替换了YubiKey 4中全部开源组件,这使得独立审查安全缺陷不再可能。[15]Yubico宣布已经在内部和外部审查中完成缺陷审查。Yubikey NEO仍使用开源代码。[16]2016年5月16日,Yubico CTOJakob Ehrensvärd发布博文对开源社区的担忧作出回复[17],申明公司有力的开源支持,并给出了Yubikey 4更新的理由和益处。
2017年10月,安全研究人员发现了一个安全隐患(称为ROCA),其出现在大量英飞凌(Infineon)安全芯片使用的加密程序库中实现RSA密钥对生成的部分。这一漏洞允许攻击者使用公钥重建私钥。[18][19]所有固件版本在4.2.6与4.3.4之间的YubiKey 4、YubiKey 4C以及YubiKey 4 nano都受到影响。[20]Yubico发布了一个检查工具,如果检查确认自己的Yubikey受到影响,可以免费更换。[21]
已支持的服务或平台
- AWS
- Bitbucket
- Compose
- Dashlane
- Digidentity/GOV.UK Verify
- Dropbox
- Facebook(仅Google Chrome和Opera)
- FastMail
- Google(仅Chrome)
- Gitlab
GitHub(仅Chrome和Opera)- Kraken (bitcoin exchange)
- LastPass
MacOS 10.12 Sierra或更高版本- Mailbox.org
- Micro Focus
- Nextcloud
- Okta
- Password Safe
- Posteo
- Salesforce
- Sentry
- Stripe
- Thexyz
- Vanguard
- Pluggable Authentication Modules (PAM)
- Posteo
Microsoft Windows Server 2008 R2或更高版本,Microsoft Windows 7或更高版本。- KeePass
- KeePassXC
另见
- OpenPGP智能卡
参考文献
^ Specifications Overview. FIDO Alliance. [4 December 2015].
^ What Is A Yubikey. Yubico. [7 November 2014].
^ McMillan. Facebook Pushes Passwords One Step Closer to Death. Wired. 3 October 2013 [7 November 2014].
^ Diallo, Amadou. Google Wants To Make Your Passwords Obsolete. Forbes. 30 November 2013 [15 November 2014].
^ Blackman, Andrew. Say Goodbye to the Password. The Wall Street Journal. 15 September 2013 [15 November 2014].
^ YubiKey Authentication. LastPass. [15 November 2014].
^ KeePass & YubiKey. KeePass. [15 November 2014].
^ Launching The 4th Generation YubiKey. Yubico. [20 November 2015].
^ With a Touch, Yubico, Docker Revolutionize Code Signing. Yubico. [20 November 2015].
^ The Team. Yubico. [12 September 2015].
^ History of FIDO. FIDO Alliance. [16 March 2017].
^ NEW YubiKey 4C featuring USB-C revealed at CES 2017 | Yubico. Yubico. 2017-01-05 [2017-09-14] (美国英语).
^ Can the YubiKey 4C be plugged directly into Android phones or tablets with USB-C ports? | Yubico. Yubico. [2017-09-14]. (原始内容存档于2017-09-14) (美国英语).
^ E, Jakob. Modhex - why and what is it?. Yubico. 12 June 2008 [6 November 2016]. (原始内容存档于2017-11-16) (英语).
^ Ryabitsev, Konstantin. I must, sadly, withdraw my endorsement of yubikey 4 devices (and perhaps all .... [12 November 2016].
^ dainnilsson commented on 11 May. [12 November 2016].
^ Secure Hardware vs. Open Source. [16 March 2017].
^ ROCA: Vulnerable RSA generation (CVE-2017-15361) [CRoCS wiki]. [2017-10-19] (英语).
^ NVD - CVE-2017-15361. [2017-10-19].
^ Infineon RSA Key Generation Issue - Customer Portal. [2017-10-19].
^ Infineon RSA Key Generation Issue - Customer Portal. [2017-10-19].
外部链接
- 官方网站