YubiKey (YubiKey) je hardwarový bezpečnostní klíč vyrobený společností Yubico , který podporuje univerzální dvoufaktorový autentizační protokol , jednorázová hesla a asymetrické šifrování . To umožňuje uživatelům bezpečně se přihlásit k účtům pomocí vygenerovaných jednorázových hesel nebo pomocí párů veřejných/soukromých klíčů vygenerovaných na zařízení. YubiKey také umožňuje ukládat statická hesla pro použití na stránkách, které nepodporují jednorázová hesla. Facebook a Google používají YubiKey k ověřování zaměstnanců a uživatelů. Nějakýsprávci hesel také podporují YubiKeys. Řada USB klíčů Yubico zahrnuje Bezpečnostní klíč, zařízení podobné YubiKey, ale určené pro ověřování pomocí veřejných klíčů FIDO U2F a FIDO2.
YubiKeys používají algoritmy HOTP a TOTP emulací klávesnice s protokolem USB HID . YubiKey NEO a řada YubiKey 4 zahrnují podporu protokolů, jako jsou smart karty OpenPGP využívající 2048bitové RSA a eliptickou kryptografii (p256, p384), FIDO U2F a NFC . YubiKeys umožňují uživatelům podepisovat, šifrovat a dešifrovat zprávy bez sdílení soukromých klíčů s třetími stranami nebo softwarem. 4. generace YubiKey byla uvedena na trh 16. listopadu 2015. Tato zařízení podporují OpenPGP s 4096bitovými klíči RSA a PKCS#11 pro chytré karty kompatibilní s PIV, což jsou funkce, které umožňují podepisování spustitelných kódů obrázků Docker .
Yubico byla založena v roce 2007 Stina Ehrensverd (CEO). Je to soukromá společnost s kancelářemi v Palo Alto , Seattlu a Stockholmu . Hlavní inženýr společnosti Yubico, Jakob Ehrenswerd, byl hlavním autorem původních specifikací pro silnou autentizaci, která se stala známou jako Universal Two-Factor Authentication (U2F).
Společnost Yubico byla založena v roce 2007 a svou činnost zahájila dodáním Pilot Boxu vývojářům v listopadu téhož roku. Původní produkt YubiKey byl představen na výroční konferenci RSA v dubnu 2008 a spolehlivější model YubiKey II byl uveden na trh v roce 2009.
Yubikey II a novější modely mají dva datové sloty pro uložení dvou různých konfigurací se samostatnými tajemstvími AES a dalšími nastaveními. Během ověřování se první slot použije při krátkém stisknutí tlačítka zařízení, zatímco druhý slot se použije při stisknutí tlačítka na 2 až 5 sekund.
V roce 2010 začala Yubico nabízet modely klíčů YubiKey OATH a YubiKey RFID. K modelu YubiKey OATH byla přidána možnost generovat 6- a 8-místná jednorázová hesla pomocí protokolů z OATH, navíc k 32místným heslům, která používá vlastní OTP schéma Yubico. Model YubiKey RFID obsahoval funkce OATH s přidaným čipem RFID MIFARE Classic 1k. Šlo však o samostatné zařízení v takovém provedení, ve kterém nebylo možné konfigurovat přes USB pomocí běžného softwaru od Yubico.
V únoru 2012 Yubico představilo YubiKey Nano, miniaturní verzi standardního YubiKey, která byla navržena tak, aby se celá vešla do USB portu, s malou dotykovou podložkou vyčnívající ven. Většina následujících modelů byla k dispozici ve standardní i „nano“ verzi.
Rok 2012 byl také ve znamení představení modelu YubiKey Neo, který byl rozvinutím myšlenek produktu YubiKey RFID, se zabudovanou podporou technologie NFC v kombinaci s tvarovým faktorem zařízení USB. YubiKey Neo (stejně jako Neo-n, „nano“ verze produktu) mají schopnost odesílat jednorázová hesla do čteček NFC jako součást vlastních adres URL obsažených ve zprávách formátu NFC Data Exchange Format (NDEF). Kromě emulace USB HID klávesnice Neo podporuje také komunikaci CCID. Režim CCID se používá pro čipové karty kompatibilní s PIV a podporu OpenPGP , zatímco USB HID se používá pro ověření jednorázovým heslem.
V roce 2014 byly klíče YubiKey Neo aktualizovány tak, aby podporovaly univerzální dvoufaktorovou autentizaci (FIDO U2F). Později v tomto roce společnost Yubico vydala bezpečnostní klíč FIDO U2F, který zahrnoval podporu pro U2F, ale žádnou podporu pro další jednorázové heslo, statické heslo, čipovou kartu nebo funkce NFC obsažené u předchozích modelů YubiKey. Při uvedení na trh byly tyto klíče prodávány za nižší cenu (18 USD) než YubiKey Standard (25 USD a 40 USD za verzi „nano“) a YubiKey Neo (50 USD, 60 USD za Neo-n).
V dubnu 2015 společnost uvedla na trh YubiKey Edge ve standardním a „nano“ formátu. Tento model z hlediska podporovaných funkcí zaujímal mezeru mezi produkty Neo a FIDO U2F, protože byl navržen pro práci s jednorázovými hesly a autentizací U2F, ale neobsahoval podporu čipových karet ani NFC.
Řada YubiKey 4 vstoupila na trh v listopadu 2015 a sestávala z modelů USB-A ve standardní a „nano“ velikosti. YubiKey 4 obsahuje většinu funkcí YubiKey Neo, což umožňuje použití klíčů OpenPGP až do 4096 bitů (oproti dříve používaným 2048 bitům), ale bez podpory NFC.
Na CES 2017 Yubico představilo rozšířenou sérii klíčů YubiKey 4 s přidaným designem USB-C. YubiKey 4C byl vydán 13. února 2017. Na OS Android podporuje připojení USB-C pouze funkce jednorázového hesla, ostatní funkce včetně U2F nejsou v tuto chvíli podporovány. Verze 4C Nano dongle byla k dispozici v září 2017.
V dubnu 2018 společnost představila bezpečnostní klíč Yubico, který byl průkopníkem nových ověřovacích protokolů FIDO2 WebAuthn (který se v březnu stal kandidátem na doporučení W3C ) a CTAP (ve vývoji, od října 2018). d.) Zařízení je k dispozici ve standardním provedení s typem připojení USB-A. Stejně jako předchozí model bezpečnostního klíče FIDO U2F má zařízení modré tělo a tlačítko s ikonou klíče. Výrazným prvkem je číslice „2“ vyrytá na plastu mezi tlačítkem a otvorem pro kroužek na klíče. Tento model je také levný ve srovnání s modely YubiKey Neo a YubiKey 4 za 20 USD za jednotku. v době uvedení do prodeje. Tyto klávesy nepodporují jednorázová hesla a funkce čipových karet, jako u dražších modelů, ale zařízení podporuje FIDO U2F.
23. září 2018 byla představena 5. generace klíčů - YubiKey 5. Tato řada se liší od předchozí podpory protokolů FIDO2 / WebAuthn s ověřováním bez hesla a modelu s podporou NFC - YubiKey 5 NFC, který nahradil YubiKey Neo. Řada YubiKey 5 se skládá ze čtyř klíčů se stejnou podporou kryptografických protokolů, ale vykonávaných v různých formách: YubiKey 5 NFC (USB-A, NFC), YubiKey 5 Nano (USB-A), YubiKey 5C (USB-C ) a YubiKey 5C Nano (USB-C).
V říjnu 2021 byla představena YubiKey Bio Series - FIDO Edition, řada klíčů se snímačem otisků prstů, ve dvou verzích, s konektorem USB-A a USB-C [1] .
Při použití jednorázových a uložených statických hesel YubiKey generuje znaky pomocí upravené hexadecimální abecedy, která je navržena tak, aby byla co nejvíce nezávislá na nastavení systémové klávesnice. Tato abeceda, nazývaná ModHex nebo Modified Hexadecimal, se skládá ze znaků „cbdefghijklnrtuv“ odpovídajících hexadecimálním číslům „0123456789abcdef“. Vzhledem k tomu, že YubiKeys v režimu USB HID používají skenovací kódy, mohou nastat problémy například při používání kláves na počítačích s jiným rozložením klávesnice. Dvořák . Při použití jednorázových hesel se doporučuje dočasně změnit nastavení systému na standardní rozložení americké klávesnice (nebo podobné). Nicméně modely YubiKey Neo a novější lze nakonfigurovat tak, aby používaly alternativní skenovací kódy, aby odpovídaly mapě kláves, která není kompatibilní s ModHex.
Autentizace U2F s řadami YubiKey a Security Key tento problém obchází pomocí alternativního protokolu U2F HID, který odesílá a přijímá binární data bez použití skenovacích kódů klávesnice. Režim CCID funguje jako čtečka čipových karet a vůbec nepoužívá protokol HID.
Yubico v řadě klíčů YubiKey 4 nahradilo všechny otevřené komponenty komponentami s uzavřeným zdrojem, které již nejsou k dispozici pro nezávislé vyšetřování zranitelností. Yubico uvádí, že všechny interní a externí revize jejich kódu byly dokončeny. Klíče YubiKey Neo jsou stále open source. Dne 16. května 2016 hlavní inženýr Yubico Jakob Ehrenswerd reagoval na obavy veřejnosti z oblasti open source v blogovém příspěvku, v němž znovu potvrdil závazek společnosti podporovat open source a vysvětlil důvody a výhody aktualizací implementovaných v YubiKey 4.
V říjnu 2017 našli bezpečnostní výzkumníci zranitelnost (známou jako ROCA) v kryptografické knihovně pro generování páru klíčů RSA, kterou používá velké množství bezpečnostních čipů od společnosti Infineon . Tato chyba zabezpečení umožňuje rekonstrukci soukromého klíče pomocí veřejného klíče. Touto chybou zabezpečení se týkají všechny klíče YubiKey 4, YubiKey 4C a YubiKey 4 Nano z revizí 4.2.6 až 4.3.4. Společnost Yubico poskytla bezplatný přístup k softwaru pro testování zranitelnosti YubiKey a provedla bezplatnou výměnu bezpečnostních klíčů.
FIDO2 je bezheslový vývoj standardu Universal Two-Factor Authentication (FIDO U2F) vyvinutého společnostmi Yubico a Google. Zatímco protokol U2F spoléhá na uživatelská jména a hesla, FIDO2 má širší škálu případů použití, včetně autentizace bez hesla. Yubico úzce spolupracovalo se společností Microsoft na vývoji technických specifikací a bezpečnostní klíč Yubico je vůbec prvním ověřovacím zařízením s podporou FIDO2 na trhu. V září 2018 byla do řady bezpečnostních klíčů YubiKey 5 přidána podpora FIDO2 / WebAuthn.