YubiKey

YubiKey是由Yubico生產的身分認證裝置，支援一次性密碼（OTP）、公鑰加密和身分認證，以及由FIDO聯盟（FIDO U2F）開發的通用第二因素（U2F）協定。^[1]它讓使用者可以透過提交一次性密碼或是使用裝置產生的公開/私密金鑰來安全地登入自己的帳戶。針對不支援一次性密碼的網站，YubiKey也可以儲存靜態密碼。^[2]Facebook使用YubiKey作為員工憑證；^[3]Google同時為雇員和使用者提供支援。^[4][5]還有一些密碼管理器也支援YubiKey。^[6][7]

Yubikey實現了基於HMAC的一次性密碼演算法（英語：HMAC-based One-time Password Algorithm）（HOTP）和基於時間的一次性密碼演算法（TOTP），並且將本身作為一個通過USB HID協定的鍵盤來提供一次性密碼。YubiKey NEO和YubiKey 4還包含許多協定，如使用2048位元RSA和橢圓曲線加密系統（ECC）p256和p384的OpenPGP卡、近場通訊（NFC）以及FIDO U2F。YubiKey允許使用者對訊息簽章、加密且同時不暴露私鑰。第4代YubiKey於2015年11月16日推出，支援4096位RSA金鑰的OpenPGP，並有PIV智慧卡（英語：FIPS 201）的PKCS11支援，還允許對Docker映像進行代碼簽章。^[8][9]

Yubico是一家私人公司，2007年由執行長Stina Ehrensvärd（英語：Stina Ehrensvärd）創立，辦事處位於帕羅奧圖、西雅圖和斯德哥爾摩。^[10]Yubico技術長Jakob Ehrensvärd是原「強認證規範」的主要作者，該規範後來演變為通用第二因素（U2F）。^[11]

歷史

在CES 2017峰會上，YubiKey宣布推出新USB-C設計的YubiKey 4C。YubiKey 4C於2017年2月13日發布。^[12]在通過USB-C連接的Android上，目前僅支援一次性密碼功能，而通用第二因素（U2F）之類的其他功能仍無法使用。^[13]

ModHex

YubiKey可以發出類十六進制字母形式的密碼，目的是儘可能不受系統鍵盤設定的限制。這種字母表被稱為ModHex或Modified Hexadecimal，由字母cbdefghijklnrtuv組成，對應於十六進制數字0123456789abcdef。^[14]

對YubiKey 4的安全擔憂（封閉原始碼）

Yubico已使用閉原始碼替換了YubiKey 4中全部開源組件，這使得獨立審查安全缺陷不再可能。^[15]Yubico宣布已經在內部和外部審查中完成缺陷審查。Yubikey NEO仍使用開原始碼。^[16]2016年5月16日，Yubico CTO Jakob Ehrensvärd發布博文對開源社群的擔憂作出回覆^[17]，申明公司有力的開源支援，並給出了Yubikey 4更新的理由和益處。

2017年10月，安全研究人員發現了一個安全隱患（稱為ROCA（英語：ROCA vulnerability）），其出現在大量英飛凌（Infineon）安全晶片使用的加密程式庫中實現RSA金鑰對生成的部分。這一漏洞允許攻擊者使用公鑰重建私鑰。^[18][19]所有韌體版本在4.2.6與4.3.4之間的YubiKey 4、YubiKey 4C以及YubiKey 4 nano都受到影響。^[20]Yubico發布了一個檢查工具，如果檢查確認自己的Yubikey受到影響，可以免費更換。^[21]

社會參與

2019年香港反對逃犯條例修訂草案運動中，對於警察濫捕及對抗爭者網路入侵的恐懼，Yubico向香港示威者贊助了500支YubiKey以用作保護示威者。Yubico表示該決定源自他們保護弱勢網際網路使用者的使命以及對言論自由的支援^[22][23]。

另見

• OpenPGP智慧卡（英語：OpenPGP card）