YubiKey - YubiKey

Yubico Inc.

Modelo	Privado
Indústria	Hardware
Fundado	2007
Quartel general	Palo Alto, Califórnia , Estados Unidos
Pessoas chave	Stina Ehrensvärd (CEO e fundador) Jakob Ehrensvärd ( CTO )
Local na rede Internet	www .yubico .com / products /

Dispositivos YubiKey 4 (no porta-chaves) e YubiKey 4 Nano USB

O YubiKey é um dispositivo de autenticação de hardware fabricado pela Yubico para proteger o acesso a computadores, redes e serviços online que oferece suporte a senhas de uso único (OTP), criptografia de chave pública e autenticação e os protocolos Universal 2nd Factor (U2F) e FIDO2 desenvolvido pela FIDO Alliance . Ele permite que os usuários façam login com segurança em suas contas, emitindo senhas de uso único ou usando um par de chaves públicas / privadas baseadas em FIDO, gerado pelo dispositivo. YubiKey também permite o armazenamento de senhas estáticas para uso em sites que não oferecem suporte a senhas de uso único. Tanto o Google quanto o Facebook usam dispositivos YubiKey para proteger contas de funcionários, bem como contas de usuários finais. Alguns gerenciadores de senha oferecem suporte ao YubiKey. Yubico também fabrica a chave de segurança , um dispositivo semelhante de baixo custo com suporte apenas FIDO / U2F.

O YubiKey implementa o algoritmo de senha descartável baseado em HMAC (HOTP) e o algoritmo de senha descartável baseado em tempo (TOTP), e se identifica como um teclado que fornece a senha descartável por meio do protocolo USB HID . Uma YubiKey também pode se apresentar como uma placa OpenPGP usando RSA de 1024, 2048, 3072 e 4096 bits (para tamanhos de chave acima de 2048 bits, o GnuPG versão 2.0 ou superior é necessário) e criptografia de curva elíptica (ECC) p256 e p384, permitindo aos usuários para assinar, criptografar e descriptografar mensagens sem expor as chaves privadas para o mundo exterior. Também é compatível com o padrão PKCS # 11 para emular um cartão inteligente PIV . Este recurso permite a assinatura de código de imagens Docker , bem como autenticação baseada em certificado para Microsoft Active Directory e SSH .

Fundada em 2007 pela CEO Stina Ehrensvärd , a Yubico é uma empresa privada com escritórios em Palo Alto , Seattle e Estocolmo . Yubico CTO, Jakob Ehrensvärd , é o autor principal da especificação de autenticação forte original que se tornou conhecida como Universal 2nd Factor (U2F).

A YubiKey lançou a série YubiKey 5 em 2018, que adiciona suporte para FIDO2 .

História

A Yubico foi fundada em 2007 e começou a oferecer uma Pilot Box para desenvolvedores em novembro daquele ano. O produto YubiKey original foi mostrado na Conferência RSA anual em abril de 2008, e um modelo YubiKey II mais robusto foi lançado em 2009. O nome "YubiKey" deriva da palavra japonesa para dedo.

YubiKey II e modelos posteriores têm dois "slots" disponíveis, para armazenar duas configurações distintas com segredos AES separados e outras configurações. Ao autenticar, o primeiro slot é usado pressionando apenas brevemente o botão no dispositivo, enquanto o segundo slot é usado ao segurar o botão por 2 a 5 segundos.

Em 2010, a Yubico começou a oferecer os modelos YubiKey OATH e YubiKey RFID. O YubiKey OATH adicionou a capacidade de gerar senhas de uso único de 6 e 8 caracteres usando protocolos da Initiative for Open Authentication (OATH), além das senhas de 32 caracteres usadas pelo próprio esquema de autenticação OTP da Yubico. O modelo YubiKey RFID incluía a capacidade OATH e também incluía um chip de identificação de radiofrequência MIFARE Classic 1k , embora fosse um dispositivo separado dentro do pacote que não podia ser configurado com o software Yubico normal por meio de uma conexão USB.

Yubico anunciou o YubiKey Nano em fevereiro de 2012, uma versão miniaturizada do YubiKey padrão que foi projetada para caber quase inteiramente dentro de uma porta USB e expor apenas um pequeno touch pad para o botão. A maioria dos modelos posteriores do YubiKey também estão disponíveis nos tamanhos padrão e "nano".

2012 também viu a introdução do YubiKey Neo, que melhorou o produto YubiKey RFID anterior ao implementar a tecnologia de comunicação de campo próximo (NFC) e integrá-la ao lado USB do dispositivo. O YubiKey Neo (e o Neo-n, uma versão "nano" do dispositivo) são capazes de transmitir senhas únicas para leitores NFC como parte de uma URL configurável contida em uma mensagem NFC Data Exchange Format (NDEF). O Neo também é capaz de se comunicar usando o protocolo de cartão inteligente CCID, além da emulação de teclado USB HID (dispositivo de interface humana). O modo CCID é usado para smart card PIV e suporte a OpenPGP , enquanto USB HID é usado para esquemas de autenticação de senha descartável.

Em 2014, o YubiKey Neo foi atualizado com suporte FIDO Universal 2nd Factor (U2F). Mais tarde naquele ano, Yubico lançou a chave de segurança FIDO U2F, que incluía especificamente suporte a U2F, mas nenhuma outra senha descartável, senha estática, cartão inteligente ou recursos NFC de YubiKeys anteriores. No lançamento, foi correspondentemente vendido a um preço inferior de apenas $ 18, em comparação com $ 25 para o YubiKey Standard ($ 40 para a versão Nano) e $ 50 para o YubiKey Neo ($ 60 para Neo-n). Alguns dos dispositivos de pré-lançamento emitidos pelo Google durante o desenvolvimento FIDO / U2F relataram a si próprios como "Yubico WinUSB Gnubby (gnubby1)".

Em abril de 2015, a empresa lançou o YubiKey Edge em fatores de forma padrão e nano. Isso se encaixava entre os produtos Neo e FIDO U2F em termos de recursos, pois foi projetado para lidar com autenticação OTP e U2F, mas não incluía cartão inteligente ou suporte NFC.

A família de dispositivos YubiKey 4 foi lançada pela primeira vez em novembro de 2015, com modelos USB-A nos tamanhos padrão e nano. O YubiKey 4 inclui a maioria dos recursos do YubiKey Neo, incluindo o aumento do tamanho da chave OpenPGP permitido para 4096 bits (em comparação com os 2048 anteriores), mas eliminou a capacidade NFC do Neo.

Na CES 2017 , a Yubico anunciou uma expansão da série YubiKey 4 para oferecer suporte a um novo design USB-C . A YubiKey 4C foi lançada em 13 de fevereiro de 2017. No sistema operacional Android pela conexão USB-C, apenas o recurso de senha única é compatível com o sistema operacional Android e YubiKey, com outros recursos não suportados atualmente, incluindo Universal 2nd Factor (U2F) . Uma versão 4C Nano foi disponibilizada em setembro de 2017.

Em abril de 2018, a empresa lançou a chave de segurança da Yubico, seu primeiro dispositivo a implementar os novos protocolos de autenticação FIDO2 , WebAuthn (que alcançou o status de recomendação de candidato do W3C em março) e protocolo de cliente para autenticador (CTAP, ainda em desenvolvimento em maio 2018). No lançamento, o dispositivo só está disponível no formato "padrão" com um conector USB-A. Como a chave de segurança FIDO U2F anterior, ela é azul e usa um ícone de chave em seu botão. É distinguido por um número "2" gravado no plástico entre o botão e o orifício do chaveiro. Também é mais barato do que os modelos YubiKey Neo e YubiKey 4, custando US $ 20 por unidade no lançamento porque não tem os recursos de OTP e cartão inteligente dos dispositivos anteriores, embora mantenha a capacidade FIDO U2F.

Características do produto

Uma lista dos principais recursos e capacidades dos produtos YubiKey.

ModHex

Ao ser usado para senhas de uso único e senhas estáticas armazenadas, o YubiKey emite caracteres usando um alfabeto hexadecimal modificado que se destina a ser o mais independente possível das configurações do teclado do sistema. Este alfabeto, referido como ModHex ou Hexadecimal modificado, consiste nos caracteres "cbdefghijklnrtuv", correspondendo aos dígitos hexadecimais "0123456789abcdef". Devido aos YubiKeys usarem códigos de leitura de teclado brutos no modo USB HID, pode haver problemas ao usar os dispositivos em computadores configurados com diferentes layouts de teclado, como Dvorak . Recomenda-se usar os recursos do sistema operacional para alternar temporariamente para um layout de teclado padrão dos EUA (ou similar) ao usar senhas de uso único, embora YubiKey Neo e dispositivos posteriores possam ser configurados com códigos de leitura alternativos para corresponder a layouts que não são compatíveis com o conjunto de caracteres ModHex.

A autenticação U2F em YubiKeys e chaves de segurança contorna esse problema usando o protocolo U2FHID alternativo, que envia e recebe mensagens binárias brutas em vez de códigos de leitura do teclado. O modo CCID atua como um leitor de cartão inteligente, que não usa nenhum protocolo HID.

Problemas de segurança

YubiKey 4 preocupações com fornecedores fechados

Em um exemplo de segurança através da obscuridade , a maior parte do código executado em uma YubiKey é de código fechado. Embora a Yubico tenha lançado algum código para funcionalidade padrão da indústria, como PGP e HOTP , foi divulgado que, a partir da 4ª geração do produto, este não é o mesmo código com o qual as novas unidades são enviadas. Como as novas unidades são permanentemente bloqueadas por firmware na fábrica, não é possível compilar o código-fonte aberto e carregá-lo no dispositivo manualmente, o usuário deve confiar que o código em uma nova chave é autêntico e seguro.

O código para outras funcionalidades, como U2F , PIV e Modhex, é totalmente fechado.

Em 16 de maio de 2016, Yubico CTO Jakob Ehrensvärd respondeu às preocupações da comunidade de código aberto com uma postagem de blog dizendo que "nós, como empresa de produtos, assumimos uma posição clara contra implementações baseadas em componentes prontos para uso e ainda acreditamos que algo como um AVR de nível comercial ou controlador ARM não é adequado para ser usado em um produto de segurança. "

O fundador da Techdirt , Mike Masnick , criticou fortemente essa decisão, dizendo "A criptografia é complicada. Quase sempre há vulnerabilidades e bugs - um ponto que temos defendido muito ultimamente. Mas a melhor maneira de consertar isso tende a ser conseguindo tantos olhos experientes no código possível. E isso não é possível quando é de código fechado. "

Vulnerabilidade ROCA em certos dispositivos YubiKey 4, 4C e 4 Nano

Em outubro de 2017, pesquisadores de segurança encontraram uma vulnerabilidade (conhecida como ROCA ) na implementação da geração de par de chaves RSA em uma biblioteca criptográfica usada por um grande número de chips de segurança Infineon , conforme usado em uma ampla gama de chaves de segurança e produtos de token de segurança (incluindo YubiKey). A vulnerabilidade permite que um invasor reconstrua a chave privada usando a chave pública. Todos os dispositivos YubiKey 4, YubiKey 4C e YubiKey 4 Nano nas revisões 4.2.6 a 4.3.4 foram afetados por esta vulnerabilidade. Yubico corrigiu esse problema em todos os dispositivos YubiKey 4 de remessa, alternando para uma função de geração de chave diferente e ofereceu substituições gratuitas para todas as chaves afetadas. A oferta de substituição terminou em 31 de março de 2019. Em alguns casos, o problema pode ser contornado gerando novas chaves fora do YubiKey e importando-as para o dispositivo.

Proteção de senha OTP em YubiKey NEO

Em janeiro de 2018, Yubico divulgou uma vulnerabilidade moderada em que a proteção por senha para a funcionalidade OTP no YubiKey NEO poderia ser contornada sob certas condições. O problema foi corrigido a partir da versão do firmware 3.5.0 e a Yubico ofereceu chaves de substituição gratuitas para qualquer usuário que alegasse ter sido afetado.

Aleatoriedade inicial reduzida em certos dispositivos da série FIPS

Em junho de 2019, a Yubico lançou um comunicado de segurança relatando aleatoriedade reduzida em dispositivos certificados por FIPS com firmware versão 4.4.2 e 4.4.4, logo após a inicialização (não há versão 4.4.3). As chaves de segurança com aleatoriedade reduzida podem deixar as chaves mais facilmente descobertas e comprometidas do que o esperado. O problema afetou apenas a série FIPS e, em seguida, apenas alguns cenários, embora o uso do FIPS ECDSA " corresse um risco maior". A empresa ofereceu substituições gratuitas para todas as chaves afetadas.

Ativismo social

Yubico forneceu 500 YubiKeys aos manifestantes durante os protestos de 2019-2020 em Hong Kong . A empresa afirma que a decisão se baseia em sua missão de proteger os usuários vulneráveis ​​da Internet e trabalha com defensores da liberdade de expressão.

Veja também

• Cartão OpenPGP

Referências

links externos

• Website oficial
• Tabela de comparação YubiKey 5
• Tabela de comparação YubiKey FIPS