YubiKey

YubiKey是由Yubico生产的身份认证设备，支持一次性密码（OTP）、公钥加密和身份认证，以及由FIDO联盟（FIDO U2F）开发的通用第二因素（U2F）协议。^[1]它讓用户可以透过提交一次性密碼或是使用设备產生的公開/私密金钥来安全地登录自己的帐户。针对不支持一次性密码的网站，YubiKey也可以存储静态密码。^[2]Facebook使用YubiKey作为员工凭证；^[3]Google同时为雇员和用户提供支援。^[4][5]還有一些密码管理器也支持YubiKey。^[6][7]

Yubikey实现了基于HMAC的一次性密码算法（英语：HMAC-based One-time Password Algorithm）（HOTP）和基于时间的一次性密码算法（TOTP），并且將本身作为一个通过USB HID协议的键盘來提供一次性密码。YubiKey NEO和YubiKey 4还包含许多协议，如使用2048位RSA和椭圆曲线加密系统（ECC）p256和p384的OpenPGP卡、近场通信（NFC）以及FIDO U2F。YubiKey允许用户对消息签名、加密且同时不暴露私钥。第4代YubiKey于2015年11月16日推出，支持4096位RSA密钥的OpenPGP，并有PIV智能卡（英语：FIPS 201）的PKCS11支持，还允许对Docker映像进行代码签名。^[8][9]

Yubico是一家私人公司，2007年由首席执行官Stina Ehrensvärd（英语：Stina Ehrensvärd）创立，办事处位于帕羅奧圖、西雅圖和斯德哥尔摩。^[10]Yubico首席技术官Jakob Ehrensvärd是原“强认证规范”的主要作者，该规范后来演变为通用第二因素（U2F）。^[11]

历史

在CES 2017峰会上，YubiKey宣布推出新USB-C设计的YubiKey 4C。YubiKey 4C于2017年2月13日发布。^[12]在通过USB-C连接的Android上，目前仅支持一次性密码功能，而通用第二因素（U2F）之類的其他功能仍無法使用。^[13]

ModHex

YubiKey可以发出类十六进制字母形式的密码，目的是尽可能不受系统键盘设置的限制。这种字母表被称为ModHex或Modified Hexadecimal，由字母cbdefghijklnrtuv组成，对应于十六进制数字0123456789abcdef。^[14]

对YubiKey 4的安全担忧（封闭源代码）

Yubico已使用闭源代码替换了YubiKey 4中全部开源组件，这使得独立审查安全缺陷不再可能。^[15]Yubico宣布已经在内部和外部审查中完成缺陷审查。Yubikey NEO仍使用开源代码。^[16]2016年5月16日，Yubico CTO Jakob Ehrensvärd发布博文对开源社区的担忧作出回复^[17]，申明公司有力的开源支持，并给出了Yubikey 4更新的理由和益处。

2017年10月，安全研究人员发现了一个安全隐患（称为ROCA（英语：ROCA vulnerability）），其出现在大量英飞凌（Infineon）安全芯片使用的加密程序库中实现RSA密钥对生成的部分。这一漏洞允许攻击者使用公钥重建私钥。^[18][19]所有固件版本在4.2.6与4.3.4之间的YubiKey 4、YubiKey 4C以及YubiKey 4 nano都受到影响。^[20]Yubico发布了一个检查工具，如果检查确认自己的Yubikey受到影响，可以免费更换。^[21]

社會參與

2019年香港反對逃犯條例修訂草案運動中，對於警察濫捕及對抗爭者網絡入侵的恐懼，Yubico向香港示威者贊助了500支YubiKey以用作保護示威者。Yubico表示該決定源自他們保護弱勢互聯網使用者的使命以及對言論自由的支持^[22][23]。

另见

• OpenPGP智能卡（英语：OpenPGP card）

参考文献

1. Specifications Overview. FIDO Alliance. [4 December 2015]. （原始内容存档于2018-12-09）.
2. What Is A Yubikey. Yubico. [7 November 2014]. （原始内容存档于2015-01-31）.
3. McMillan. Facebook Pushes Passwords One Step Closer to Death. Wired. 3 October 2013 [7 November 2014]. （原始内容存档于2021-05-07）.
4. Diallo, Amadou. Google Wants To Make Your Passwords Obsolete. Forbes. 30 November 2013 [15 November 2014]. （原始内容存档于2017-08-18）.
5. Blackman, Andrew. Say Goodbye to the Password. The Wall Street Journal. 15 September 2013 [15 November 2014]. （原始内容存档于2014-01-03）.
6. YubiKey Authentication. LastPass. [15 November 2014]. （原始内容存档于2014-10-07）.
7. KeePass & YubiKey. KeePass. [15 November 2014]. （原始内容存档于2022-03-08）.
8. Launching The 4th Generation YubiKey. Yubico. [20 November 2015]. （原始内容存档于2018-11-30）.
9. With a Touch, Yubico, Docker Revolutionize Code Signing. Yubico. [20 November 2015]. （原始内容存档于2018-11-30）.
10. The Team. Yubico. [12 September 2015]. （原始内容存档于2022-05-10）.
11. History of FIDO. FIDO Alliance. [16 March 2017]. （原始内容存档于2018-08-26）.
12. NEW YubiKey 4C featuring USB-C revealed at CES 2017 | Yubico. Yubico. 2017-01-05 [2017-09-14]. （原始内容存档于2020-01-06） （美国英语）.
13. Can the YubiKey 4C be plugged directly into Android phones or tablets with USB-C ports? | Yubico. Yubico. [2017-09-14]. （原始内容存档于2017-09-14） （美国英语）.
14. E, Jakob. Modhex - why and what is it?. Yubico. 12 June 2008 [6 November 2016]. （原始内容存档于2017-11-16） （英语）.
15. Ryabitsev, Konstantin. I must, sadly, withdraw my endorsement of yubikey 4 devices (and perhaps all .... [12 November 2016]. （原始内容存档于2019-03-22）.
16. dainnilsson commented on 11 May. [12 November 2016]. （原始内容存档于2021-04-30）.
17. Secure Hardware vs. Open Source. [16 March 2017]. （原始内容存档于2019-11-14）.
18. ROCA: Vulnerable RSA generation (CVE-2017-15361) [CRoCS wiki]. [2017-10-19]. （原始内容存档于2021-03-23） （英语）.
19. NVD - CVE-2017-15361. [2017-10-19]. （原始内容存档于2021-12-06）.
20. Infineon RSA Key Generation Issue - Customer Portal. [2017-10-19]. （原始内容存档于2020-11-11）.
21. Infineon RSA Key Generation Issue - Customer Portal. [2017-10-19]. （原始内容存档于2018-12-22）.
22. Swedish tech firm Yubico hands Hong Kong protesters free security keys amid fears over police tactics online. South China Morning Post. 2019-10-10 [2019-10-18]. （原始内容存档于2022-05-10） （英语）.
23. Yubico 贊助香港抗爭者世上最強網上保安鎖匙 Yubikey | 立場新聞. 立場新聞 Stand News. [2019-10-18]. （原始内容存档于2021-06-23） （英语）.

外部链接

• 官方网站 （英文）