유비키

YubiKey
유비코 주식회사
유형사설
산업하드웨어
설립됨2007
본부미국 캘리포니아 팔로 알토
주요인
 스티나 에렌스베르트(CEO 및 설립자)
야콥 에렌스베르트(CTO)
웹사이트www.yubico.com/products/ Edit this at Wikidata
2014년 FIDO 표준의 첫 번째 유비키 USB 토큰.

유비키유비코가 컴퓨터, 네트워크, 온라인 서비스의 접속을 보호하기 위해 제조한 하드웨어 인증 장치로, OTP(One-Time Password), 공개키 암호, 인증 등을 지원하며, FIDO 연합이 개발한 유니버설 제2 팩터(U2F), FIDO2 프로토콜을[1] 지원한다.사용자가 일회성 비밀번호를 방출하거나 기기에서 생성된 FIDO 기반의 공용/개인용 키 쌍을 사용하여 안전하게 계정에 로그인할 수 있도록 한다.유비키는 또한 일회성 비밀번호를 지원하지 않는 사이트에서 사용할 수 있도록 정적 비밀번호를 저장할 수 있다.[2]구글, 아마존, 마이크로소프트, 페이스북은 최종 사용자 계정뿐만 아니라 직원 계정을 확보하기 위해 유비키 장치를 사용한다.[3][4][5] 일부 암호관리자는 유비키를 지원한다.[6][7]유비코는 또 FIDO2/WebAuthn과 FIDO/U2F만 지원하는 비슷한 저비용 장치인 시큐리티 키도 생산하고 있다.[8][9]

유비키는 HMAC 기반 원타임 암호 알고리즘(One-Time Password Algorithm, HOTP)과 시간 기반 원타임 암호 알고리즘(TOTP)을 구현하며, USB HID 프로토콜을 통해 원타임 암호를 전달하는 키보드로 자신을 식별한다.A YubiKey can also present itself as an OpenPGP card using 1024, 2048, 3072 and 4096-bit RSA (for key sizes over 2048 bits, GnuPG version 2.0 or higher is required) and elliptic curve cryptography (ECC) p256, p384 and more depending on version, allowing users to sign, encrypt and decrypt messages without exposing the private keys to the outside world. 또한 PKCS#11 표준이 PIV 스마트 카드를 에뮬레이트하는 것을 지원한다.이 기능은 도커 이미지의 코드 서명뿐만 아니라 마이크로소프트 Active DirectorySSH에 대한 인증서 기반 인증을 허용한다.[10][11][12][13]

스타나 에렌스베르트 최고경영자(CEO)가 2007년 설립한 유비코는 팔로알토, 시애틀, 스톡홀름에 사무실을 두고 있는 민간기업이다.[14]유비코 CTO인 Jakob Ehrensvérd는 유니버설 2인자(U2F)로 알려지게 된 원래의 강력한 인증 규격의 주도적인 작성자다.[15]

유비키는 2018년에 FIDO2에 대한 지원을 추가한 유비키 5시리즈를 발매했다.[16]

역사

유비코는 2007년 설립돼 그해 11월부터 개발자를 위한 파일럿 박스를 제공하기 시작했다.[17]2008년 4월 연례 RSA 콘퍼런스에서 원래의 유비키 제품을 선보였으며,[18][19] 2009년에는 더욱 견고한 유비키2 모델이 출시되었다.[20]"유비키"라는 이름은 손가락을 뜻하는 일본어 단어에서 유래되었다.[21]

유비키 2세 이상 모델에는 두 개의 "슬롯"을 사용할 수 있으며, 두 개의 뚜렷한 구성을 별도의 AES 비밀과 다른 설정으로 저장할 수 있다.첫 번째 슬롯을 인증할 때는 장치의 버튼을 짧게 눌러서 사용하는 반면, 두 번째 슬롯은 버튼을 2~5초 동안 누르고 있을 때 사용한다.

2010년에 유비코는 유비키 선서 및 유비키 RFID 모델을 제공하기 시작했다.유비키 선서에서는 유비코의 자체 OTP 인증 방식에서 사용하는 32자 암호 외에 오픈 인증(OATT)의 프로토콜을 이용하여 6자, 8자 1회성 암호를 생성할 수 있는 기능을 추가했다.유비키 RFID 모델에는 선서 기능 외에 MIFARE Classic 1k 무선주파수 식별 칩도 포함되어 있었지만,[22] USB 연결을 통해 일반 유비코 소프트웨어로 구성할 수 없는 별도의 장치였다.[23]

유비코는 2012년 2월 유비키 나노를 발표했는데, 유비키는 USB 포트에 거의 완전히 들어가 버튼의 작은 터치 패드만 노출하도록 설계되었다.[24]유비키의 후기 모델도 대부분 표준 사이즈와 「나노」 사이즈로 구할 수 있었다.

2012년에는 근거리 무선 통신(NFC) 기술을 구현하여 기기의 USB 측에 통합함으로써 이전의 유비키 RFID 제품에 비해 개선된 유비키 네오의 도입도 보았다.[25]유비키 네오(및 "나노" 버전의 네오엔)는 NDEF(NFC Data Exchange Format) 메시지에 포함된 구성 가능한 URL의 일부로 NFC 판독기에 일회성 비밀번호를 전송할 수 있다.네오는 USB HID(휴먼 인터페이스 장치) 키보드 에뮬레이션 외에 CCID 스마트 카드 프로토콜을 이용해 통신도 가능하다.CCID 모드는 PIV 스마트 카드OpenPGP 지원에 사용되며, USB HID는 일회용 비밀번호 인증제도에 사용된다.[26]

2014년, 유비키 네오는 FIDO 유니버설 2인자(U2F) 지원으로 업데이트되었다.[27]그 해 말, 유비코는, U2F 지원을 구체적으로 포함했지만, 이전의 유비키즈의 다른 일회용 암호, 정적 암호, 스마트 카드, 근거리 무선 통신 기능은 일체 포함하지 않은 FIDO U2F 시큐리티 키를 발매했다.[8]출시 당시 유비키 스탠더드 25달러(나노버전 40달러)와 유비키네오 50달러(네오엔 60달러)에 비해 단 18달러의 저렴한 가격에 판매됐다.[28]구글이 FIDO/U2F 개발 당시 발행한 프리 릴리즈 기기 중 일부는 '유비코 윈USB 그누비(gnubby1)'라고 스스로 신고했다.[29]

2015년 4월 표준 폼팩터와 나노 폼팩터 양면에서 유비키엣지를 출시했다.이는 OTP와 U2F 인증을 처리하기 위해 고안되었지만 스마트 카드나 근거리 무선 통신 지원은 포함하지 않았기 때문에 네오와 FIDO U2F 제품 사이에 특징적으로 자리를 잡았다.[30]

유비키4 기기군은 표준 규격과 나노 크기의 USB-A 모델을 탑재해 2015년 11월 처음 출시됐다.유비키4는 허용된 OpenPGP 키 크기를 4096비트(기존 2048비트)로 늘리는 등 유비키네오의 대부분의 특징을 포함하고 있지만, 네오의 근거리 무선 통신 기능을 떨어뜨렸다.

유비코는 CES 2017에서 새로운 USB-C 디자인을 지원하기 위해 유비키 4시리즈의 확장을 발표했다.유비키 4C는 2017년 2월 13일 발매되었다.[31]USB-C 접속을 통한 안드로이드 OS에서는 안드로이드 OS와 유비키에 의해 1회용 암호 기능만 지원되며, 현재 유니버설 2차 팩터(U2F)를 포함한 다른 기능은 지원되지 않는다.[32]4C 나노 버전은 2017년 9월에 출시되었다.[33]

2018년 4월, 새로운 FIDO2 인증 프로토콜을 구현하기 위한 첫 장치인 유비코, WebAuthn(3월[34] W3C 후보 추천 현황에 도달한 것), CTAP(Client to Authenticator Protocol) 등의 보안 키를 내놓았다.출시 시 이 장치는 USB-A 커넥터가 있는 "표준" 폼 팩터에서만 사용할 수 있다.기존 FIDO U2F 보안키와 마찬가지로 파란색이며 버튼에 키 아이콘을 사용한다.그것은 버튼과 키링 구멍 사이의 플라스틱에 "2"라는 숫자로 구별된다.또한, FIDO U2F 기능을 보유하고 있지만, 이전 기기의 OTP와 스마트 카드 기능이 부족하기 때문에 출시 당시 대당 20달러가 드는 유비키 네오, 유비키 4 모델보다 가격도 저렴하다.[9]

제품 기능

유비키 제품의 주요 특징과 역량의 목록.[35]

모델
년도 판매
선서 OTP
보안 정적 암호
유비코 OTP
선서: HOTP (이벤트)
선서: TOTP(시간)
스마트 카드(PIV 호환)
OpenPGP
FIDO U2F
FIDO2
범용 HSM
FIPS 140-2
근거리 무선 통신
USB-A
USB-C
번개
유비키 VIP 유비키플러스 유비키나노 유비키네오엔 유비키4나노 유비키엣지엔 유비키 표준 유비HSM 1호 FIDO U2F 보안 키 유비코의 보안 키 유비키네오 유비키4C나노 유비키4C 유비키4나노 유비키4길 유비키 C 나노 FIPS 유비키 C FIPS 유비키 나노 FIPS 유비키 FIPS 유비HSM 2 보안 키 NFC by Yubico 유비키 5C 나노 유비키 5C 유비키5나노 유비키5 NFC 유비키5Ci 유비키 5C NFC
2011–2017 2014–2015 2012–2016 2014–2016 2016–2017 2015–2016 2014–2016 2015–2017 2013–2018 2018–2020 2012–2018 2017–2018 2017–2018 2015–2018 2015–2018 2018-현재 2018-현재 2018-현재 2018-현재 2017-현재 2019-현재 2018-현재 2018-현재 2018-현재 2018-현재 2019-현재 2020년-현재

모덱스

일회용 암호와 저장된 정적 암호에 사용할 때, 유비키는 시스템 키보드 설정과 가능한 독립적으로 사용할 수 있는 수정된 16진수 알파벳을 사용하여 문자를 방출한다.ModHex 또는 Modified Hexadecimal로 불리는 이 알파벳은 16진수 숫자 "0123456789abcdef"[36]에 해당하는 "cbdefghijklnrtuv" 문자로 구성되어 있다.USB HID 모드에서 원시 키보드 스캔 코드를 사용하는 유비키즈 때문에 드보락 등 키보드 레이아웃이 다른 컴퓨터에서 장치를 사용할 때 문제가 발생할 수 있다.ModHex 문자 집합과 호환되지 않는 레이아웃과 일치하도록 유비키 네오 이상의 장치를 대체 스캔 코드로 구성할 수 있지만, 일회용 암호를 사용할 때는 운영 체제 기능을 사용하여 일시적으로 표준 미국 자판 배열(또는 이와 유사한 것)으로 전환할 것을 권장한다.[37]

유비키스와 보안키스의 U2F 인증은 키보드 스캔 코드 대신 원시 바이너리 메시지를 주고받는 대체 U2FHID 프로토콜을 사용하여 이 문제를 우회한다.[38]CCID 모드는 HID 프로토콜을 전혀 사용하지 않는 스마트 카드 리더 역할을 한다.

보안 문제

유비키4 폐쇄소싱 우려

무명을 통한 보안의 예에서 유비키를 타고 흐르는 코드는 대부분 폐쇄된 소스다.유비코는 PGP, HOTP와 같은 업계 표준 기능에 대한 코드를 일부 공개했지만, 4세대 제품 현재 이것은 새로운 제품들과 함께 출하되는 코드와 같지 않다는 것이 밝혀졌다.[39][40]새 장치는 공장에서 영구적으로 펌웨어가 잠겨 있어 오픈 소스 코드를 컴파일하여 장치에 수동으로 로드할 수 없기 때문에 사용자는 새 키의 코드가 인증되고 안전하다고 신뢰해야 한다.

U2F, PIV, Modhex와 같은 다른 기능에 대한 코드는 완전히 폐쇄된 소스다.

2016년 5월 16일, 유비코 CTO Jakob Ehrensvérd는 블로그 게시물로 오픈소스 커뮤니티의 우려에 대해, "우리는 제품 회사로서 기성품 컴포넌트를 기반으로 한 구현에 대해 분명한 입장을 취했으며, 나아가 상업용 등급의 AVR이나 ARM 컨트롤러 같은 것이 보안 p에 사용되기에는 적합하지 않다고 생각한다.로덕트."[41]

테크디트 설립자인 마이크 매스닉은 "암호화는 까다롭다.거의 항상 취약점과 버그가 있다. 최근 우리가 많이 만들고 있는 지점이다.그러나 이러한 문제를 해결하는 가장 좋은 방법은 가능한 한 많은 지식을 가진 사람들의 코드에 눈을 돌리는 경향이 있다.그리고 그것은 폐쇄적인 출처일 때는 불가능한 일이오."[42]

특정 YuvKey 4, 4C 및 4Nano 장치에서의 ROCA 취약성

보안 연구진은 2017년 10월, 다양한 보안키와 보안 토큰 제품(유비키 포함)에서 사용되는 다수의 인피니온 보안 칩이 사용하는 암호 라이브러리에서 RSA 키페이어 생성 구현의 취약성(ROCA)을 발견했다.이 취약성을 통해 공격자는 공개 키를 사용하여 개인 키를 재구성할 수 있다.[43][44]개정 4.2.6 ~ 4.3.4 내의 모든 유비키 4, 유비키 4C, 유비키 4나노 장치들이 이 취약성의 영향을 받았다.[45]유비코는 다른 키 생성 기능으로 전환하여 모든 선적 유비키 4 기기에서 이 문제를 해결하고 영향을 받는 키에 대해 무상 교체를 제공했다.교체 제안은 2019년 3월 31일에 종료되었다.경우에 따라서는 유비키 외부에서 새로운 키를 생성하여 기기로 가져오는 방법으로 이 문제를 우회할 수 있다.[46]

유비키 NEO의 OTP 비밀번호 보호

2018년 1월, 유비코는 유비키 NEO의 OTP 기능에 대한 암호 보호가 특정 조건에서 우회될 수 있는 중간 취약성을 공개했다.이 문제는 펌웨어 버전 3.5.0으로 수정되었고 유비코는 영향을 받았다고 주장하는 모든 사용자에게 무료 교체 키를 제공했다.[47]

특정 FIPS 시리즈 장치에서 초기 랜덤성 감소

2019년 6월 유비코는 전원을 켠 직후(버전 4.4.3은 없다) 펌웨어 버전 4.4.2와 4.4.4로 FIPS 인증을 받은 기기의 무작위성을 줄인 보안 자문 보고서를 발표했다.[48]임의성이 감소된 보안 키는 예상보다 쉽게 발견되고 손상될 수 있다.이 문제는 FIPS ECDSA 사용이 "더 높은 위험"이었지만 FIPS 시리즈와 특정 시나리오에만 영향을 미쳤다.그 회사는 영향을 받는 모든 키에 대해 무상 교체를 제공했다.

사회활동주의

유비코는 2019~2020년 홍콩 시위 때 500명의 유비키를 시위대에 제공했다.이 회사는 이 결정이 취약한 인터넷 사용자들을 보호하기 위한 그들의 임무에 기초하고 있으며, 자유 발언 지지자들과 함께 일한다고 말한다.[49][50]

참고 항목

참조

  1. ^ "Specifications Overview". FIDO Alliance. Retrieved 4 December 2015.
  2. ^ "What Is A Yubikey". Yubico. Retrieved 7 November 2014.
  3. ^ McMillan (3 October 2013). "Facebook Pushes Passwords One Step Closer to Death". Wired. Retrieved 7 November 2014.
  4. ^ Diallo, Amadou (30 November 2013). "Google Wants To Make Your Passwords Obsolete". Forbes. Retrieved 15 November 2014.
  5. ^ Blackman, Andrew (15 September 2013). "Say Goodbye to the Password". The Wall Street Journal. Archived from the original on 3 January 2014. Retrieved 15 November 2014.
  6. ^ "YubiKey Authentication". LastPass. Retrieved 15 November 2014.
  7. ^ "KeePass & YubiKey". KeePass. Retrieved 15 November 2014.
  8. ^ a b "Yubico Releases FIDO U2F Security Key". Yubico (Press release). 2014-10-21. Retrieved 2018-05-05.
  9. ^ a b "Yubico Launches New Developer Program and Security Key for FIDO2 and WebAuthn W3C Specifications" (Press release). 2018-04-10. Retrieved 2018-05-06.
  10. ^ "Launching The 4th Generation YubiKey". Yubico. Retrieved 20 November 2015.
  11. ^ "With a Touch, Yubico, Docker Revolutionize Code Signing". Yubico. Retrieved 20 November 2015.
  12. ^ "Setting up Windows Server for YubiKey PIV Authentication". Yubico. Retrieved 2021-06-06.
  13. ^ "SSH user certificates". developers.yubico.com. Retrieved 2021-06-06.
  14. ^ "The Team". Yubico. Retrieved 12 September 2015.
  15. ^ "History of FIDO". FIDO Alliance. Retrieved 16 March 2017.
  16. ^ "Yubico launches new YubiKey 5 Series 2FA keys, supports passwordless FIDO2 and NFC". Android Police. 2018-09-24. Retrieved 2019-10-07.
  17. ^ "Yubico launches YubiKey Pilot Box". Yubico. 2007-11-26. Archived from the original on 2008-02-21. Retrieved 2018-05-06.
  18. ^ Steve Gibson (April 2008). "Security Now! Notes for Episode #141". Security Now!. Gibson Research Corporation. Retrieved 2018-05-05.
  19. ^ Leo Laporte and Steve Gibson (2008-04-24). "Episode #141 - RSA Conference 2008". Security Now!. Gibson Research Corporation. Retrieved 2018-05-05.
  20. ^ Mike (2009-08-27). "Yubikey II – got it". Read My Damn Blog. Retrieved 2018-05-05.
  21. ^ "Company Information". Yubico. Retrieved 2020-11-30.
  22. ^ "RFID YubiKey". Yubico Store. Archived from the original on 2011-08-29. Retrieved 2018-05-05.
  23. ^ "RFID YubiKey". IDivine Technology. Retrieved 2018-05-05.
  24. ^ "Yubico Launches YubiKey Nano, The World's Smallest One-Time Password Token" (Press release). Yubico. 2012-02-28. Retrieved 2018-05-05.
  25. ^ Clark, Sarah (2012-02-22). "Yubico introduces one-time password token that secures access to the contents of NFC phones". NFC World. Retrieved 2018-05-05.
  26. ^ Maples, David (2012-12-26). "YubiKey NEO Composite Device". Yubico. Retrieved 2018-05-05.
  27. ^ "Yubico Introduces Industry's First FIDO Ready™ Universal 2nd Factor Device". Yubico (Press release). 2014-01-06. Retrieved 2018-05-05.
  28. ^ "YubiKey Hardware". Yubico. Archived from the original on 2014-11-07.
  29. ^ "pamu2fcfg doesn't support test devices".
  30. ^ "Yubico Launches YubiKey Edge at RSA 2015; OTP and U2F Two-Factor Authentication in One Key". Yubico (Press release). Retrieved 2018-05-05.
  31. ^ "NEW YubiKey 4C featuring USB-C revealed at CES 2017 Yubico". Yubico. 2017-01-05. Retrieved 2017-09-14.
  32. ^ "Can the YubiKey 4C be plugged directly into Android phones or tablets with USB-C ports? Yubico". Yubico. Archived from the original on 2017-09-14. Retrieved 2017-09-14.
  33. ^ "Our Family is Growing! YubiKey 4C Nano Unveiled at Microsoft Ignite". Yubico. 2017-09-25. Retrieved 2018-05-05.
  34. ^ Jones, Michael (2018-03-20). "Candidate Recommendation (CR) for Web Authentication Specification". W3C Web Authentication Working Group. Retrieved 2018-05-06.
  35. ^ "What YubiKey Do You Have". Retrieved 2021-02-11.
  36. ^ E, Jakob (12 June 2008). "Modhex - why and what is it?". Yubico. Archived from the original on 16 November 2017. Retrieved 6 November 2016.
  37. ^ Toh, Alvin (2013-07-24). "Expanding YubiKey Keyboard Support". Yubico. Retrieved 2018-05-05.
  38. ^ "FIDO U2F HID Protocol Specification". FIDO Alliance. 2017-04-11. Retrieved 2018-05-06.
  39. ^ "A comparison of cryptographic keycards". LWN.net. Retrieved 21 September 2020.
  40. ^ "Bad News: Two-Factor Authentication Pioneer YubiKey Drops Open Source PGP For Proprietary Version". techdirt. Retrieved 21 September 2020.
  41. ^ "Secure Hardware vs. Open Source". Yubico.com. Retrieved 16 March 2017.
  42. ^ Masnick, Mike (16 May 2016). "Bad News: Two-Factor Authentication Pioneer YubiKey Drops Open Source PGP For Proprietary Version". Techdirt. Retrieved 27 March 2020.
  43. ^ "ROCA: Vulnerable RSA generation (CVE-2017-15361) [CRoCS wiki]". crocs.fi.muni.cz. Retrieved 2017-10-19.
  44. ^ "NVD - CVE-2017-15361". nvd.nist.gov. Retrieved 2017-10-19.
  45. ^ "Infineon RSA Key Generation Issue - Customer Portal". Yubico.com. Retrieved 11 June 2019.
  46. ^ "Yubico Mitigation Recommendations". Yubico.com. Retrieved 11 June 2019.
  47. ^ "Security advisory YSA-2018-01". Yubico. Retrieved 2021-01-04.
  48. ^ "Security Advisory YSA-2019-02 Reduced initial randomness on FIPS keys". Retrieved 2019-06-14.
  49. ^ "Swedish tech firm Yubico hands Hong Kong protesters free security keys amid fears over police tactics online". South China Morning Post. 2019-10-10. Retrieved 2019-10-18.
  50. ^ "Yubico 贊助香港抗爭者世上最強網上保安鎖匙 Yubikey 立場新聞". 立場新聞 Stand News (in Chinese). Retrieved 2019-10-18.

외부 링크