YubiKey

YubiKey是由Yubico生產的身份認證設備，支持一次性密碼（OTP）、公鑰加密和身份認證，以及由FIDO聯盟（FIDO U2F）開發的通用第二因素（U2F）協議。^[1]它讓用戶可以透過提交一次性密碼或是使用設備產生的公開/私密金鑰來安全地登錄自己的帳戶。針對不支持一次性密碼的網站，YubiKey也可以存儲靜態密碼。^[2]Facebook使用YubiKey作為員工憑證；^[3]Google同時為雇員和用戶提供支援。^[4][5]還有一些密碼管理器也支持YubiKey。^[6][7]

Yubikey實現了基於HMAC的一次性密碼算法（英語：HMAC-based One-time Password Algorithm）（HOTP）和基於時間的一次性密碼算法（TOTP），並且將本身作為一個通過USB HID協議的鍵盤來提供一次性密碼。YubiKey NEO和YubiKey 4還包含許多協議，如使用2048位RSA和橢圓曲線加密系統（ECC）p256和p384的OpenPGP卡、近場通信（NFC）以及FIDO U2F。YubiKey允許用戶對消息簽名、加密且同時不暴露私鑰。第4代YubiKey於2015年11月16日推出，支持4096位RSA密鑰的OpenPGP，並有PIV智能卡（英語：FIPS 201）的PKCS11支持，還允許對Docker映像進行代碼簽名。^[8][9]

Yubico是一家私人公司，2007年由首席執行官Stina Ehrensvärd（英語：Stina Ehrensvärd）創立，辦事處位於帕羅奧圖、西雅圖和斯德哥爾摩。^[10]Yubico首席技術官Jakob Ehrensvärd是原「強認證規範」的主要作者，該規範後來演變為通用第二因素（U2F）。^[11]

歷史

在CES 2017峰會上，YubiKey宣布推出新USB-C設計的YubiKey 4C。YubiKey 4C於2017年2月13日發布。^[12]在通過USB-C連接的Android上，目前僅支持一次性密碼功能，而通用第二因素（U2F）之類的其他功能仍無法使用。^[13]

ModHex

YubiKey可以發出類十六進制字母形式的密碼，目的是儘可能不受系統鍵盤設置的限制。這種字母表被稱為ModHex或Modified Hexadecimal，由字母cbdefghijklnrtuv組成，對應於十六進制數字0123456789abcdef。^[14]

對YubiKey 4的安全擔憂（封閉源代碼）

Yubico已使用閉源代碼替換了YubiKey 4中全部開源組件，這使得獨立審查安全缺陷不再可能。^[15]Yubico宣布已經在內部和外部審查中完成缺陷審查。Yubikey NEO仍使用開源代碼。^[16]2016年5月16日，Yubico CTO Jakob Ehrensvärd發布博文對開源社區的擔憂作出回復^[17]，申明公司有力的開源支持，並給出了Yubikey 4更新的理由和益處。

2017年10月，安全研究人員發現了一個安全隱患（稱為ROCA（英語：ROCA vulnerability）），其出現在大量英飛凌（Infineon）安全芯片使用的加密程序庫中實現RSA密鑰對生成的部分。這一漏洞允許攻擊者使用公鑰重建私鑰。^[18][19]所有固件版本在4.2.6與4.3.4之間的YubiKey 4、YubiKey 4C以及YubiKey 4 nano都受到影響。^[20]Yubico發布了一個檢查工具，如果檢查確認自己的Yubikey受到影響，可以免費更換。^[21]

社會參與

2019年香港反對逃犯條例修訂草案運動中，對於警察濫捕及對抗爭者網絡入侵的恐懼，Yubico向香港示威者贊助了500支YubiKey以用作保護示威者。Yubico表示該決定源自他們保護弱勢互聯網使用者的使命以及對言論自由的支持^[22][23]。

另見

• OpenPGP智能卡（英語：OpenPGP card）

參考文獻

1. Specifications Overview. FIDO Alliance. [4 December 2015]. （原始內容存檔於2018-12-09）.
2. What Is A Yubikey. Yubico. [7 November 2014]. （原始內容存檔於2015-01-31）.
3. McMillan. Facebook Pushes Passwords One Step Closer to Death. Wired. 3 October 2013 [7 November 2014]. （原始內容存檔於2021-05-07）.
4. Diallo, Amadou. Google Wants To Make Your Passwords Obsolete. Forbes. 30 November 2013 [15 November 2014]. （原始內容存檔於2017-08-18）.
5. Blackman, Andrew. Say Goodbye to the Password. The Wall Street Journal. 15 September 2013 [15 November 2014]. （原始內容存檔於2014-01-03）.
6. YubiKey Authentication. LastPass. [15 November 2014]. （原始內容存檔於2014-10-07）.
7. KeePass & YubiKey. KeePass. [15 November 2014]. （原始內容存檔於2022-03-08）.
8. Launching The 4th Generation YubiKey. Yubico. [20 November 2015]. （原始內容存檔於2018-11-30）.
9. With a Touch, Yubico, Docker Revolutionize Code Signing. Yubico. [20 November 2015]. （原始內容存檔於2018-11-30）.
10. The Team. Yubico. [12 September 2015]. （原始內容存檔於2022-05-10）.
11. History of FIDO. FIDO Alliance. [16 March 2017]. （原始內容存檔於2018-08-26）.
12. NEW YubiKey 4C featuring USB-C revealed at CES 2017 | Yubico. Yubico. 2017-01-05 [2017-09-14]. （原始內容存檔於2020-01-06） （美國英語）.
13. Can the YubiKey 4C be plugged directly into Android phones or tablets with USB-C ports? | Yubico. Yubico. [2017-09-14]. （原始內容存檔於2017-09-14） （美國英語）.
14. E, Jakob. Modhex - why and what is it?. Yubico. 12 June 2008 [6 November 2016]. （原始內容存檔於2017-11-16） （英語）.
15. Ryabitsev, Konstantin. I must, sadly, withdraw my endorsement of yubikey 4 devices (and perhaps all .... [12 November 2016]. （原始內容存檔於2019-03-22）.
16. dainnilsson commented on 11 May. [12 November 2016]. （原始內容存檔於2021-04-30）.
17. Secure Hardware vs. Open Source. [16 March 2017]. （原始內容存檔於2019-11-14）.
18. ROCA: Vulnerable RSA generation (CVE-2017-15361) [CRoCS wiki]. [2017-10-19]. （原始內容存檔於2021-03-23） （英語）.
19. NVD - CVE-2017-15361. [2017-10-19]. （原始內容存檔於2021-12-06）.
20. Infineon RSA Key Generation Issue - Customer Portal. [2017-10-19]. （原始內容存檔於2020-11-11）.
21. Infineon RSA Key Generation Issue - Customer Portal. [2017-10-19]. （原始內容存檔於2018-12-22）.
22. Swedish tech firm Yubico hands Hong Kong protesters free security keys amid fears over police tactics online. South China Morning Post. 2019-10-10 [2019-10-18]. （原始內容存檔於2022-05-10） （英語）.
23. Yubico 贊助香港抗爭者世上最強網上保安鎖匙 Yubikey | 立場新聞. 立場新聞 Stand News. [2019-10-18]. （原始內容存檔於2021-06-23） （英語）.

外部連結

• 官方網站 （英文）