YubiKey
YubiKey — это аппаратный ключ безопасности, предназначенный для двухфакторной аутентификации (2FA) и многофакторной аутентификации (MFA), выпускаемый шведско-американской компанией Yubico. Устройство подключается к компьютеру или мобильному устройству через USB, USB-C, Lightning или NFC и позволяет подтверждать личность пользователя без ввода одноразовых паролей, используя криптографические методы.
История
Компания Yubico была основана в 2007 году шведским предпринимателем и криптографом Стианом Эрлингом (Stian Eriksen) совместно с Якобом Эрлингом. Первая версия устройства, YubiKey Standard, была выпущена в 2008 году. Изначально ключ поддерживал только протокол одноразовых паролей (OTP) и эмулировал клавиатуру, вводя пароль при нажатии на кнопку.
В 2012 году Yubico представила поддержку протокола FIDO U2F (Universal 2nd Factor), разработанного альянсом FIDO (Fast IDentity Online) для повышения безопасности веб-аутентификации. В 2014 году компания начала массовое производство ключей с поддержкой U2F, что способствовало их принятию крупными технологическими платформами, включая Google, Facebook (организация признана экстремистской и запрещена в РФ) и Dropbox.
В 2018 году Yubico анонсировала серию YubiKey 5, которая добавила поддержку протокола FIDO2/WebAuthn, ставшего стандартом W3C. В 2019 году вышла модель YubiKey 5C с разъёмом USB-C, а в 2020 году — YubiKey 5Ci с Lightning для устройств Apple. В 2021 году компания выпустила YubiKey Bio, первую модель со встроенным биометрическим датчиком отпечатка пальца.
Устройство и принцип работы
YubiKey представляет собой компактное устройство размером с флеш-накопитель, защищённое прочным корпусом из металла или пластика. Внутри находится микроконтроллер с аппаратным генератором случайных чисел, энергонезависимая память для хранения ключей и криптографический сопроцессор. Устройство не имеет аккумулятора — питание получает через порт подключения или по NFC.
Протоколы аутентификации
YubiKey поддерживает несколько протоколов аутентификации:
- FIDO U2F — протокол, при котором ключ генерирует пару асимметричных ключей (приватный и публичный) для каждого сервиса. При входе пользователь нажимает кнопку на ключе, что подтверждает физическое присутствие.
- FIDO2/WebAuthn — эволюция U2F, позволяющая использовать парольную аутентификацию (passwordless) без ввода пароля. Поддерживает как однофакторную, так и многофакторную аутентификацию.
- OTP (One-Time Password) — генерация одноразового пароля по алгоритму Yubico OTP (Yubico OTP) или RFC 4226 (HOTP). Пароль вводится автоматически при эмуляции клавиатуры.
- PIV (Personal Identity Verification) — поддержка смарт-карт по стандарту NIST SP 800-73, используемая для цифровых подписей и аутентификации в корпоративных системах.
- OpenPGP — хранение и использование ключей OpenPGP для шифрования и подписи электронной почты.
- OATH-TOTP — генерация временных одноразовых паролей (Time-based One-Time Password) по стандарту RFC 6238, аналогично приложениям-аутентификаторам.
Физические характеристики
YubiKey выпускается в нескольких форм-факторах:
- USB-A — стандартный разъём для большинства компьютеров.
- USB-C — современный разъём для ноутбуков и смартфонов.
- Lightning — для устройств Apple (iPhone, iPad) до перехода на USB-C.
- NFC — беспроводное подключение к мобильным устройствам, поддерживающим Near Field Communication.
Модели различаются по набору поддерживаемых протоколов и объёму памяти. Например, YubiKey 5 NFC поддерживает все перечисленные протоколы, а YubiKey FIPS (Federal Information Processing Standard) сертифицирован для использования в государственных учреждениях США.
Применение
YubiKey используется для защиты учётных записей в интернет-сервисах, корпоративных системах и государственных информационных системах. Основные области применения:
- Личная безопасность — защита аккаунтов Google, Microsoft, Apple, GitHub, GitLab, социальных сетей и мессенджеров. Пользователь регистрирует ключ в настройках безопасности сервиса, после чего для входа требуется физическое нажатие кнопки.
- Корпоративная безопасность — в крупных компаниях (Google, Facebook (организация признана экстремистской и запрещена в РФ), Dropbox, Twitter) YubiKey используется для аутентификации сотрудников при доступе к внутренним системам. Поддерживается интеграция с Active Directory, Okta, Duo Security и другими решениями.
- Государственные системы — в США YubiKey сертифицирован по стандарту FIPS 140-2 и используется в правительственных учреждениях, включая Министерство обороны и Национальное управление по аэронавтике и исследованию космического пространства (NASA).
- Криптовалюты — хранение приватных ключей для кошельков и подписание транзакций без подключения к интернету (холодное хранение).
- Шифрование — использование OpenPGP для шифрования электронной почты и файлов, а также для создания цифровых подписей.
Преимущества и недостатки
Преимущества
- Устойчивость к фишингу — аутентификация требует физического нажатия на кнопку, что делает невозможным удалённый перехват кода.
- Аппаратная защита — приватные ключи хранятся в защищённой памяти микроконтроллера и не могут быть извлечены даже при физическом доступе к устройству.
- Простота использования — для аутентификации достаточно нажать кнопку или приложить ключ к NFC-считывателю.
- Поддержка множества протоколов — одно устройство может использоваться для разных сервисов и сценариев.
- Долговечность — отсутствие аккумулятора и механических частей (кроме кнопки) обеспечивает срок службы до 5–10 лет.
Недостатки
- Потеря или поломка — при утере ключа доступ к учётным записям может быть утерян, если не настроены резервные методы аутентификации.
- Ограниченная совместимость — не все сервисы поддерживают аппаратные ключи, особенно в России и странах СНГ.
- Стоимость — цена YubiKey варьируется от 25 до 70 долларов США в зависимости от модели, что выше стоимости программных аутентификаторов.
- Необходимость физического доступа — для удалённой работы или использования на нескольких устройствах требуется носить ключ с собой.
Безопасность и критика
YubiKey считается одним из самых безопасных методов двухфакторной аутентификации благодаря аппаратной реализации криптографических операций. Однако в 2021 году исследователи из компании NinjaLab продемонстрировали атаку на YubiKey 5 NFC, основанную на анализе побочных электромагнитных излучений (side-channel attack). Атака требовала физического доступа к устройству и специального оборудования, что делает её малоприменимой в реальных условиях. Yubico выпустила обновление прошивки, устраняющее уязвимость.
Критики также отмечают, что YubiKey не защищает от атак, направленных на перехват сессионных cookie, или от компрометации устройства, к которому подключён ключ. Кроме того, использование одного ключа для всех сервисов создаёт единую точку отказа — при его утере пользователь теряет доступ ко всем учётным записям.
Аналоги
На рынке существуют аналогичные аппаратные ключи безопасности, включая:
- Google Titan Security Key — ключ, разработанный Google, поддерживающий FIDO U2F и FIDO2.
- Nitrokey — немецкий аналог с открытым исходным кодом, поддерживающий OpenPGP, S/MIME и шифрование дисков.
- Thetis — китайский ключ, совместимый с FIDO2 и U2F.
- SoloKey — проект с открытым аппаратным и программным обеспечением, поддерживающий FIDO2.
В России аппаратные ключи безопасности производятся компанией «Актив» (серия «Рутокен») и «Аладдин Р.Д.» (серия «JaCarta»), которые поддерживают российские криптографические стандарты ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012.
Интересные факты
- В 2018 году компания Google объявила, что после внедрения YubiKey для всех сотрудников количество успешных фишинговых атак на внутренние системы снизилось до нуля.
- YubiKey используется в программе защиты журналистов и правозащитников, финансируемой Фондом свободы прессы (Freedom of the Press Foundation).
- Модель YubiKey 5C NFC в 2020 году получила сертификат FIPS 140-2 Level 3, что подтверждает соответствие строгим требованиям безопасности для государственных учреждений.
Источники
- Yubico. «YubiKey 5 Series — Technical Specifications». Yubico Documentation.
- FIDO Alliance. «FIDO2/WebAuthn — Technical Overview». FIDO Alliance White Papers.
- National Institute of Standards and Technology. «FIPS 140-2 Security Requirements for Cryptographic Modules».
- NinjaLab. «Side-Channel Attack on YubiKey 5 NFC». NinjaLab Research Report, 2021.
- Google. «Security Keys: Practical Cryptographic Second Factors for the Modern Web». Google Security Blog, 2018.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →