YubiKey

出典: フリー百科事典『ウィキペディア(Wikipedia)』
ナビゲーションに移動 検索に移動
Yubico Inc.
Private
業種 ハードウェア
設立 2007
本社 パロアルト, 米国
主要人物
Stina Ehrensvärd (CEO兼創業者)
Jakob Ehrensvärd (CTO)
ウェブサイト www.yubico.com/products/ ウィキデータを編集
YubiKey 4 (中央)とYubiKey 4 Nano USBデバイス(右下)

YubiKey(ゆびきい)は、コンピュータ、ネットワーク、オンラインサービスへのアクセスを保護するため、Yubico社により製造されたハードウェア認証デバイスである。これは、ワンタイムパスワード公開鍵暗号、認証、FIDOアライアンスが開発したユニバーサル2ndファクター英語版(U2F)、FIDO2英語版プロトコルに対応している[1]。ユーザーは、ワンタイムパスワードを発行するか、デバイスによって生成されたFIDOベースの公開鍵/秘密鍵ペアを使用することで、安全にアカウントにログインすることができる。また、YubiKeyは、ワンタイムパスワードをサポートしていないサイトで使用するための静的パスワードを保存することもできる[2]Facebookは従業員の認証情報にYubiKeyを使用している[3]。Googleは従業員とユーザーの両方に対応している[4][5]。いくつかのパスワードマネージャーはYubiKeyをサポートしている[6][7]。YubicoはYubiKeyに似たデバイスのSecurity Keyも製造しているが、公開鍵認証に焦点を置いたものである[8][9]

Yubikeyは、HMACベースワンタイムパスワード英語版アルゴリズム(HOTP)と時間ベースワンタイムパスワードアルゴリズム(TOTP)を実装し、USB HID英語版プロトコルを介してワンタイムパスワードを配信するキーボードとして自身を識別する。YubiKey NEOおよびYubiKey 4には、1024、2048、3072、4096ビットRSA(2048ビット以上の鍵サイズの場合はGnuPGバージョン2.0以上が必要)と楕円曲線暗号(ECC)p256およびp384、近距離無線通信(NFC)、FIDO U2Fを使用したOpenPGPカード英語版などのプロトコルが含まれている。YubiKeyを使用することで、秘密鍵を外部に公開することなく、メッセージの署名、暗号化、復号化を行うことができる。第4世代のYubiKeyは2015年11月16日に発売された。これは4096ビットのRSA鍵を持つOpenPGPに対応し、Dockerイメージのコード署名英語版を可能にする機能であるPIVスマートカードPKCS 11英語版をサポートしている[10][11]

Yubicoは、CEOのStina Ehrensvärd (英語版氏が2007年に設立した非公開企業で、パロアルトシアトルストックホルムにオフィスを構えている[12]。YubicoのCTOであるJakob Ehrensvärdは、ユニバーサル2ndファクター(U2F)として知られるようになった最初の強力な認証仕様の筆頭著者である[13]

2018年、YubikeyはFIDO2英語版のサポートを追加したYubikey 5シリーズをリリースした[14]

歴史[編集]

Yubicoは2007年に設立され、同年11月に開発者向けのPilot Boxの提供を開始した[15]。2008年4月に開催された年次RSAカンファレンスで初代YubiKey製品が発表され[16][17]、2009年にはより堅牢なYubiKey IIモデルが発売された[18]。「YubiKey」という名前は、日本語の「指」に由来する[19]

YubiKey II以降のモデルでは、2つの「スロット」が用意されており、AES秘密鍵やその他の設定で2つの異なる構成を保存できる。認証時には、1つ目のスロットは端末のボタンを短く押すだけで使用され、2つ目のスロットはボタンを2~5秒長押しすると使用される。

2010年、Yubikoは、「YubiKey OATH」と「YubiKey RFID」モデルの提供を開始した。YubiKey OATHでは、独自のOTP認証方式である32文字のワンタイムパスワードに加えて、オープン認証イニシアティブ英語版(OATH)のプロトコルを利用した6文字-8文字のワンタイムパスワードを生成する機能が追加された。Yubikey RFIDモデルには、OATH機能に加えて、MIFARE Classic 1kのRFIDチップが搭載されているが、これはパッケージ内の別個のデバイスであり、USB接続による通常のYubicoソフトウェアでは設定できない[20]

Yubicoは2012年2月にYubiKey Nanoを発表した。これは標準のYubiKeyの小型化バージョンで、ほぼ完全にUSBポート内に収まり、ボタン用の小さなタッチパッドのみが露出するように設計されていた[21]。YubiKeyのその後のほとんどのモデルは、標準サイズと「nano」サイズの両方で利用可能である。

2012年には、近距離無線通信(NFC)技術を実装し、デバイスのUSB側と統合することで、以前のYubiKey RFID製品を改良したYubiKey Neoも発表された[22]。YubiKey Neo(および「nano」バージョンのNeo-n)は、NFC Data Exchange Format(NDEF)メッセージに含まれる設定可能なURLの一部として、ワンタイムパスワードをNFCリーダーに送信できる。Neo は、USB HID英語版キーボード・エミュレーションに加えて、CCID英語版スマートカード・プロトコルを使用して通信することもできる。CCIDモードはPIVスマートカードとOpenPGPに対応し、USB HIDはワンタイムパスワード認証方式に使用される[23]

2014年には「YubiKey Neo」がアップデートされ、FIDO Universal 2nd Factor(U2F)に対応した[24]。その年の後半、YubicoはFIDO U2Fセキュリティキーをリリースしたが、これには特にU2Fサポートが含まれていたが、以前のYubiKeyのその他のワンタイムパスワード、静的パスワード、スマートカード、NFC機能は含まれていなかった[25]。発売時には、YubiKey Standardが25ドル(Nanoバージョンは40ドル)、YubiKey Neoが50ドル(Neo-nは60ドル)であったのに対し、わずか18ドルという低価格で販売されていた[26]。FIDO/U2Fの開発中にGoogleが発行したプレリリースデバイスの中には、「Yubico WinUSB Gnubby(gnubby1)」と報告されている[27]

2015年4月、同社は標準とnanoの両フォームファクタで「YubiKey Edge」を発売した。これは、OTPやU2F認証には対応するが、スマートカードやNFCには対応していないため、機能面ではNeoとFIDO U2F製品の中間に位置していた[28]

YubiKey 4ファミリのデバイスは、2015年11月に発売され、標準サイズとnanoサイズのUSB-Aモデルが用意されている。YubiKey 4は、許容されるOpenPGPキーサイズを4096ビット(従来の2048ビットと比較して)に拡大するなど、YubiKey Neoのほとんどの機能を搭載しているが、NeoのNFC機能は削除された。

Yubicoは、CES 2017で、新しいUSB-Cデザインに対応するためにYubiKey 4シリーズの拡張を発表した。YubiKey 4Cは2017年2月13日に発売された[29]。USB-C接続のAndroid OS上ではワンタイムパスワード機能のみに対応し、その他の機能はユニバーサル2ndファクター(U2F)など現在は対応していない[30]。2017年9月には4C Nano版が利用可能になった[31]

2018年4、同社は、新しいFIDO2認証プロトコルである「WebAuthn」(3月にW3C候補推奨ステータスに到達)および「Client to Authenticator Protocol」(CTAP、2018年5月時点でまだ開発中[32])を実装した初のデバイス「Security Key by Yubico」を発表した。発売時には、USB-Aコネクタを備えた「標準」フォームファクタのみで提供される。前モデルの「FIDO U2F Security Key」と同様に青色を基調とし、ボタンには鍵のアイコンが採用されている。ボタンとキーリングの穴の間のプラスチックに「2」という数字が刻まれていることで区別される。また、FIDO U2F機能は保持しているが、従来のデバイスのOTP機能やスマートカード機能が欠けているため、YubiKey NeoやYubiKey 4よりも安価で、発売時には1個あたり20ドルとなっている[9]

製品の特徴[編集]

YubiKey製品の主な機能と機能の一覧である[33]

製品機能
Model YubiKey VIP YubiKey Plus YubiKey Nano YubiKey NEO-n YubiKey 4 Nano YubiKey Edge-n YubiKey Standard YubiHSM 1 FIDO U2F Security Key Security Key by Yubico YubiKey NEO YubiKey 4C Nano YubiKey 4C YubiKey 4 Nano YubiKey 4 YubiKey C Nano FIPS YubiKey C FIPS YubiKey Nano FIPS YubiKey FIPS YubiHSM 2 Security Key NFC by Yubico YubiKey 5C Nano YubiKey 5C YubiKey 5 Nano YubiKey 5 NFC YubiKey 5Ci YubiKey 5C NFC
Years Sold 2011-2017 2014-2015 2012-2016 2014-2016 2016-2017 2015-2016 2014-2016 2015-2017 2013-2018 2018-2020 2012-2018 2017-2018 2017-2018 2015-2018 2015-2018 2018-present 2018-present 2018-present 2018-present 2017-present 2019-present 2018-present 2018-present 2018-present 2018-present 2019-present 2020-present
OATH OTP Yes Yes
Secure Static Passwords Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes
Yubico OTP Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes
OATH – HOTP (Event) Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes
OATH – TOTP (Time) Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes
Smart Card (PIV-Compatible) Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes
OpenPGP Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes
FIDO U2F Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes
FIDO2 Yes Yes Yes Yes Yes Yes Yes Yes
General Purpose HSM Yes Yes
FIPS 140-2 Yes Yes Yes Yes
NFC Yes Yes Yes
USB-A Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes
USB-C Yes Yes Yes Yes Yes Yes Yes Yes
Lightning Yes

ModHex[編集]

ワンタイムパスワードおよび内部に保存された静的パスワードを使用する場合、YubiKey は、システムのキーボード設定にできるだけ依存しないようにするために、変更された16進数のアルファベットを使用して文字を出力する。このアルファベットはModHexまたはModified Hexadecimalと呼ばれ、16進数の「0123456789abcdef」に対応する文字「cbdefghijklnrtuv」で構成される[34]。YubiKeysはUSB HIDモードで生のキーボードスキャンコードを使用するため、Dvorakのような異なるキーボードレイアウトで設定されたコンピュータでデバイスを使用すると問題が発生する可能性がある。ワンタイムパスワードを使用する場合は、オペレーティングシステムの機能を使用して、一時的に標準のUSキーボードレイアウト(または同等なもの)に切り替えることが勧められているが、YubiKey Neo以降のデバイスは、ModHex文字セットと互換性のないレイアウトに合わせて代替スキャンコードを設定することができる[35]

YubiKeysとSecurity KeysのU2F認証は、キーボードスキャンコードの代わりに生のバイナリメッセージを送受信する代替U2FHIDプロトコルを使用することで、この問題を回避する[36]。CCIDモードは、HIDプロトコルを全く使用しないスマートカードリーダーとして機能する。

セキュリティ上の問題[編集]

YubiKey 4クローズドソースの懸念[編集]

曖昧さによるセキュリティ英語版の例として、Yubikey上で実行されるコードのほとんどがクローズドソースであることが挙げられる。YubicoはPGPHMACベースワンタイムパスワード英語版(HOTP)のような業界標準機能のコードをリリースしたが、それは製品の第4世代の時点で、これは新しいユニットに付属しているコードと同じではないことが明らかになった[37][38]。新しいユニットは工場で恒久的にファームウェアロックされているため、オープンソースコードをコンパイルして手動でデバイスにロードすることはできない。

U2F英語版PIV、Modhexなどの他の機能のコードは完全にクローズドソースである。

2016年5月16日、YubicoのCTOであるJakob Ehrensvärd氏は、オープンソースコミュニティの懸念に対して、「私たちは製品会社として、既製品のコンポーネントに基づく実装に対して明確な立場を取っており、商用グレードのAVRやARMコントローラのようなものはセキュリティ製品に使用するには適さないと考えている。」というブログ記事で回答した[39]

Techdirtの創設者であるMike Masnick氏はこの決定に対し、「暗号化は厄介なものである。ほとんどの場合、脆弱性やバグがある。これは最近多くのことを指摘している。しかし、それらを修正する最善の方法は、多くの知識のある人にコードを見てもらうことである。クローズドソースではそれは不可能である。[40]」と強く批判した。

特定のYubiKey 4、4C、および4 NanoデバイスにおけるROCAの脆弱性[編集]

2017年10月、セキュリティ研究者は、さまざまなセキュリティキーやセキュリティトークン製品(YubiKeyを含む)で幅広く使用されているInfineonのセキュリティチップで使用されている暗号化ライブラリでのRSAキーペア生成の実装に脆弱性(ROCAと呼ばれる)を発見した。この脆弱性により、攻撃者は公開鍵を使用して秘密鍵を再構築できる[41][42]。リビジョン 4.2.6から4.3.4までのYubiKey 4、YubiKey 4C、YubiKey 4 Nanoのすべてのデバイスがこの脆弱性の影響を受けている[43]。Yubicoでは、出荷されているYubiKey 4のすべてのデバイスについて、別のキー生成機能に切り替えることでこの問題を解決し、影響を受けたキーの交換を無償で提供した。交換オファーは2019年3月31日で終了した。場合によっては、YubiKeyの外部で新しいキーを生成し、デバイスにインポートすることで、この問題を回避することができる[44]

Yubikey NEOでのOTPパスワード保護[編集]

2018年1月、Yubicoは、Yubikey NEOのOTP機能のパスワード保護が特定の条件下でバイパスされる可能性がある中程度の脆弱性を開示した。この問題はファームウェアバージョン3.5.0で修正されており、Yubicoは影響を受けたと主張するユーザーに対し、無償で交換用キーを提供した[45]

特定のFIPSシリーズデバイスでの初期ランダム性の低下[編集]

2019年6月、Yubicoは、ファームウェアバージョン4.4.2および4.4.4を搭載したFIPS認証デバイスにおいて、電源投入直後にランダム性が低下したことを報告するセキュリティアドバイザリを公開した(バージョン4.4.3は存在しない)[46]。ランダム性が低下したセキュリティキーを使用すると、予想よりも簡単にキーが検出されて侵害される可能性がある。この問題は、FIPSシリーズのみに影響し、特定のシナリオのみに影響を与えたが、FIPS ECDSAの使用は「リスクが高い」としている。同社は、影響を受けた鍵の交換を無償で行っている。

社会運動[編集]

2019~20年の香港抗議行動では、警察による権力乱用に直面した抗議者のネット上の安全性に大きな懸念が寄せられている。Yubicoは、香港のデモ参加者を保護するために500台のYubikeyをスポンサーとして提供した。同社は、脆弱なインターネットユーザーを保護するという同社の使命に基づいて決定したとしており、言論の自由を支持する人たちと協力しているという[47][48]

参照項目[編集]

脚注[編集]

  1. ^ McMillan (2013年10月3日). “Facebook Pushes Passwords One Step Closer to Death”. Wired. 2014年11月7日閲覧。
  2. ^ Diallo, Amadou (2013年11月30日). “Google Wants To Make Your Passwords Obsolete”. Forbes. https://www.forbes.com/sites/amadoudiallo/2013/11/30/google-wants-to-make-your-passwords-obsolete/ 2014年11月15日閲覧。 
  3. ^ Blackman, Andrew (2013年9月15日). “Say Goodbye to the Password”. The Wall Street Journal. オリジナルの2014年1月3日時点におけるアーカイブ。. https://web.archive.org/web/20140103085719/https://online.wsj.com/news/articles/SB10001424127887323585604579008620509295960 2014年11月15日閲覧。 
  4. ^ YubiKey Authentication”. LastPass. 2014年11月15日閲覧。
  5. ^ KeePass & YubiKey”. KeePass. 2014年11月15日閲覧。
  6. ^ “Yubico Releases FIDO U2F Security Key” (プレスリリース), (2014年10月21日), https://www.yubico.com/press-releases/yubico-releases-fido-u2f-security-key-2 2018年5月5日閲覧。 
  7. ^ “Yubico Launches New Developer Program and Security Key for FIDO2 and WebAuthn W3C Specifications” (プレスリリース), (2018年4月10日), https://www.yubico.com/press-releases/280530/ 2018年5月6日閲覧。 
  8. ^ Launching The 4th Generation YubiKey”. Yubico. 2015年11月20日閲覧。
  9. ^ a b With a Touch, Yubico, Docker Revolutionize Code Signing”. Yubico. 2015年11月20日閲覧。
  10. ^ The Team”. Yubico. 2015年9月12日閲覧。
  11. ^ History of FIDO”. FIDO Alliance. 2017年3月16日閲覧。
  12. ^ Yubico launches new YubiKey 5 Series 2FA keys, supports passwordless FIDO2 and NFC”. Android Police (2018年9月24日). 2019年10月7日閲覧。
  13. ^ Specifications Overview”. FIDO Alliance. 2015年12月4日閲覧。
  14. ^ What Is A Yubikey”. Yubico. 2014年11月7日閲覧。
  15. ^ Clark (2012年2月22日). “Yubico introduces one-time password token that secures access to the contents of NFC phones”. NFC World. 2018年5月5日閲覧。
  16. ^ Maples (2012年12月26日). “YubiKey NEO Composite Device”. Yubico. 2018年5月5日閲覧。
  17. ^ “Yubico Introduces Industry's First FIDO Ready™ Universal 2nd Factor Device” (プレスリリース), (2014年1月6日), https://www.yubico.com/press-releases/yubico-introduces-industrys-first-fido-ready-universal-2nd-factor-device/ 2018年5月5日閲覧。 
  18. ^ “Yubico Releases FIDO U2F Security Key” (プレスリリース), (2014年10月21日), https://www.yubico.com/press-releases/yubico-releases-fido-u2f-security-key-2 2018年5月5日閲覧。 
  19. ^ YubiKey Hardware”. Yubico. 2014年11月7日時点のオリジナルよりアーカイブ。2021年2月12日閲覧。
  20. ^ pamu2fcfg doesn't support test devices”. 2021年2月12日閲覧。
  21. ^ “Yubico Launches YubiKey Edge at RSA 2015; OTP and U2F Two-Factor Authentication in One Key” (プレスリリース), https://www.yubico.com/press-releases/yubico-launches-yubikey-edge-at-rsa-2015-otp-and-u2f-two-factor-authentication-in-one-key/ 2018年5月5日閲覧。 
  22. ^ “NEW YubiKey 4C featuring USB-C revealed at CES 2017 | Yubico”. Yubico. (2017年1月5日). https://www.yubico.com/2017/01/yubikey-usb-c-ces2017/ 2017年9月14日閲覧。 
  23. ^ “Can the YubiKey 4C be plugged directly into Android phones or tablets with USB-C ports? | Yubico”. Yubico. https://www.yubico.com/support/knowledge-base/categories/articles/can-yubikey-4c-plugged-directly-android-phones-tablets-usb-c-ports/ 2017年9月14日閲覧。 
  24. ^ Our Family is Growing! YubiKey 4C Nano Unveiled at Microsoft Ignite”. Yubico (2017年9月25日). 2018年5月5日閲覧。
  25. ^ Jones (2018年3月20日). “Candidate Recommendation (CR) for Web Authentication Specification”. W3C Web Authentication Working Group. 2018年5月6日閲覧。
  26. ^ “Yubico Launches New Developer Program and Security Key for FIDO2 and WebAuthn W3C Specifications” (プレスリリース), (2018年4月10日), https://www.yubico.com/press-releases/280530/ 2018年5月6日閲覧。 
  27. ^ Yubico launches YubiKey Pilot Box”. Yubico (2007年11月26日). 2021年2月12日閲覧。
  28. ^ Steve Gibson (2008年4月). “Security Now! Notes for Episode #141”. Security Now!. Gibson Research Corporation. 2018年5月5日閲覧。
  29. ^ Leo Laporte and Steve Gibson (2008年4月24日). “Episode #141 - RSA Conference 2008”. Security Now!. Gibson Research Corporation. 2018年5月5日閲覧。
  30. ^ Mike (2009年8月27日). “Yubikey II – got it”. Read My Damn Blog. 2018年5月5日閲覧。
  31. ^ Company Information” (英語). Yubico. 2020年11月30日閲覧。
  32. ^ RFID YubiKey”. IDivine Technology. 2018年5月5日閲覧。
  33. ^ Maples, David (2012年12月26日). “YubiKey NEO Composite Device”. Yubico. 2018年5月5日閲覧。
  34. ^ YubiKey Hardware”. Yubico. 2021年2月12日閲覧。
  35. ^ pamu2fcfg doesn't support test devices”. 2021年2月12日閲覧。
  36. ^ “NEW YubiKey 4C featuring USB-C revealed at CES 2017 | Yubico”. Yubico. (2017年1月5日). https://www.yubico.com/2017/01/yubikey-usb-c-ces2017/ 2017年9月14日閲覧。 
  37. ^ What YubiKey Do You Have”. 2021年2月11日閲覧。
  38. ^ What YubiKey Do You Have”. 2021年2月11日閲覧。
  39. ^ ROCA: Vulnerable RSA generation (CVE-2017-15361) [CRoCS wiki]”. crocs.fi.muni.cz. 2017年10月19日閲覧。
  40. ^ NVD - CVE-2017-15361”. nvd.nist.gov. 2017年10月19日閲覧。
  41. ^ Infineon RSA Key Generation Issue - Customer Portal”. Yubico.com. 2019年6月11日閲覧。
  42. ^ Yubico Mitigation Recommendations”. Yubico.com. 2019年6月11日閲覧。
  43. ^ Security advisory YSA-2018-01” (英語). Yubico. 2021年1月4日閲覧。
  44. ^ Security advisory YSA-2018-01” (英語). Yubico. 2021年1月4日閲覧。
  45. ^ Bad News: Two-Factor Authentication Pioneer YubiKey Drops Open Source PGP For Proprietary Version”. techdirt. 2020年9月21日閲覧。
  46. ^ Bad News: Two-Factor Authentication Pioneer YubiKey Drops Open Source PGP For Proprietary Version”. Techdirt (2016年5月16日). 2020年3月27日閲覧。
  47. ^ Infineon RSA Key Generation Issue - Customer Portal”. Yubico.com. 2019年6月11日閲覧。
  48. ^ Yubico Mitigation Recommendations”. Yubico.com. 2019年6月11日閲覧。

外部リンク[編集]