Clave Yubi

Dispositivo de autenticación de hardware de Yubico

Primer token USB YubiKey del estándar FIDO en 2014

YubiKey es un dispositivo de autenticación de hardware fabricado por Yubico para proteger el acceso a computadoras, redes y servicios en línea que admite contraseñas de un solo uso (OTP), criptografía de clave pública , autenticación y los protocolos Universal 2nd Factor (U2F) y FIDO2 ^[1] desarrollados por FIDO Alliance . Permite a los usuarios iniciar sesión de forma segura en sus cuentas emitiendo contraseñas de un solo uso o utilizando un par de claves pública/privada basado en FIDO generado por el dispositivo. YubiKey también permite almacenar contraseñas estáticas para usar en sitios que no admiten contraseñas de un solo uso. ^[2] Google, Amazon, Microsoft, Twitter y Facebook utilizan dispositivos YubiKey para proteger las cuentas de los empleados, así como las cuentas de los usuarios finales. ^{[3] [4] [5]} Algunos administradores de contraseñas admiten YubiKey. ^{[6] [7]} Yubico también fabrica Security Key , un dispositivo similar de menor costo con solo compatibilidad con FIDO2/WebAuthn y FIDO/U2F. ^{[8] [9]}

La YubiKey implementa el algoritmo de contraseña de un solo uso basado en HMAC (HOTP) y el algoritmo de contraseña de un solo uso basado en tiempo (TOTP), y se identifica como un teclado que entrega la contraseña de un solo uso a través del protocolo USB HID . Una YubiKey también puede presentarse como una tarjeta OpenPGP que utiliza RSA de 1024, 2048, 3072 y 4096 bits (para tamaños de clave superiores a 2048 bits, se requiere la versión 2.0 de GnuPG o superior) y criptografía de curva elíptica (ECC) p256, p384 y más, según la versión ^[10] , lo que permite a los usuarios firmar, cifrar y descifrar mensajes sin exponer las claves privadas al mundo exterior. También se admite el estándar PKCS#11 para emular una tarjeta inteligente PIV . Esta característica permite la firma de código de imágenes de Docker , así como la autenticación basada en certificados para Microsoft Active Directory y SSH ^{[11] [12] [13] [14]}

Fundada en 2007 por la ex directora ejecutiva y ahora jefa evangelista Stina Ehrensvärd , Yubico es una empresa privada con oficinas en Santa Clara, California , Bellevue, WA y Estocolmo, Suecia . ^[15] El CTO de Yubico, Jakob Ehrensvärd, es el autor principal de la especificación de autenticación fuerte original que se conoció como Universal 2nd Factor (U2F). ^[16]

YubiKey lanzó la serie YubiKey 5 en 2018, que agrega soporte para FIDO2 . ^[17]

Historia

Yubico se fundó en 2007 y comenzó a ofrecer una Pilot Box para desarrolladores en noviembre de ese año. ^[18] El producto YubiKey original se mostró en la Conferencia anual RSA en abril de 2008, ^{[19] [20]} y se lanzó un modelo YubiKey II más robusto en 2009. ^[21] La explicación de Yubico sobre el nombre "YubiKey" es que deriva de la frase "su llave omnipresente", y que "yubi" es la palabra japonesa para dedo. ^[22]

YubiKey II y los modelos posteriores tienen dos "ranuras" disponibles para almacenar dos configuraciones distintas con claves AES independientes y otras configuraciones. Al autenticar, la primera ranura se utiliza presionando brevemente el botón del dispositivo, mientras que la segunda ranura se utiliza al mantener presionado el botón durante 2 a 5 segundos.

En 2010, Yubico comenzó a ofrecer los modelos YubiKey OATH y YubiKey RFID. El modelo YubiKey OATH agregó la capacidad de generar contraseñas de un solo uso de 6 y 8 caracteres utilizando protocolos de la Iniciativa para la Autenticación Abierta (OATH), además de las contraseñas de 32 caracteres utilizadas por el propio esquema de autenticación OTP de Yubico. El modelo YubiKey RFID incluía la capacidad OATH y también incluía un chip de identificación por radiofrecuencia MIFARE Classic 1k , ^[23] aunque era un dispositivo separado dentro del paquete que no se podía configurar con el software normal de Yubico a través de una conexión USB. ^[24]

Yubico anunció el YubiKey Nano en febrero de 2012, una versión miniaturizada del YubiKey estándar que fue diseñado para que encajara casi por completo dentro de un puerto USB y solo expusiera un pequeño panel táctil para el botón. ^[25] La mayoría de los modelos posteriores del YubiKey también han estado disponibles en tamaños estándar y "nano".

En 2012 también se presentó el YubiKey Neo, que mejoró el producto RFID YubiKey anterior al implementar la tecnología de comunicación de campo cercano (NFC) e integrarla con el lado USB del dispositivo. ^[26] El YubiKey Neo (y Neo-n, una versión "nano" del dispositivo) pueden transmitir contraseñas de un solo uso a lectores NFC como parte de una URL configurable contenida en un mensaje de formato de intercambio de datos NFC (NDEF). El Neo también puede comunicarse utilizando el protocolo de tarjeta inteligente CCID además de la emulación de teclado USB HID (dispositivo de interfaz humana). El modo CCID se utiliza para la compatibilidad con tarjetas inteligentes PIV y OpenPGP , mientras que USB HID se utiliza para los esquemas de autenticación de contraseñas de un solo uso. ^[27]

En 2014, la YubiKey Neo se actualizó con soporte FIDO Universal 2nd Factor (U2F). ^[28] Más tarde ese año, Yubico lanzó la llave de seguridad FIDO U2F, que incluía específicamente soporte U2F pero ninguna de las otras contraseñas de un solo uso, contraseñas estáticas, tarjetas inteligentes o funciones NFC de las YubiKeys anteriores. ^[8] En el lanzamiento, se vendió correspondientemente a un precio más bajo de solo $18, en comparación con los $25 de la YubiKey Standard ($40 para la versión Nano) y los $50 de la YubiKey Neo ($60 para Neo-n). ^[29] Algunos de los dispositivos de prelanzamiento emitidos por Google durante el desarrollo de FIDO/U2F se reportaron como "Yubico WinUSB Gnubby (gnubby1)". ^[30]

En abril de 2015, la empresa lanzó el YubiKey Edge en formatos estándar y nano. Este se ubicó entre los productos Neo y FIDO U2F en cuanto a características, ya que fue diseñado para manejar autenticación OTP y U2F, pero no incluía soporte para tarjetas inteligentes o NFC. ^[31]

La familia de dispositivos YubiKey 4 se lanzó por primera vez en noviembre de 2015, con modelos USB-A en tamaños estándar y nano. La YubiKey 4 incluye la mayoría de las características de la YubiKey Neo, incluido el aumento del tamaño de clave OpenPGP permitido a 4096 bits (en comparación con los 2048 anteriores), pero eliminó la capacidad NFC de la Neo.

En el CES 2017 , Yubico anunció una expansión de la serie YubiKey 4 para admitir un nuevo diseño USB-C . La YubiKey 4C se lanzó el 13 de febrero de 2017. ^[32] En el sistema operativo Android a través de la conexión USB-C, solo la función de contraseña de un solo uso es compatible con el sistema operativo Android y YubiKey, con otras funciones que actualmente no son compatibles, incluido Universal 2nd Factor (U2F). ^[33] Una versión 4C Nano estuvo disponible en septiembre de 2017. ^[34]

En abril de 2018, la compañía lanzó Security Key by Yubico, su primer dispositivo que implementa los nuevos protocolos de autenticación FIDO2 , WebAuthn (que alcanzó el estado de recomendación candidata del W3C en marzo ^[35] ) y Client to Authenticator Protocol (CTAP). En el lanzamiento, el dispositivo solo está disponible en el formato "estándar" con un conector USB-A. Al igual que la anterior FIDO U2F Security Key, es de color azul y utiliza un icono de llave en su botón. Se distingue por un número "2" grabado en el plástico entre el botón y el orificio del llavero. También es menos costoso que los modelos YubiKey Neo y YubiKey 4, ya que cuesta $20 por unidad en el lanzamiento porque carece de las funciones de OTP y tarjeta inteligente de esos dispositivos anteriores, aunque conserva la capacidad FIDO U2F. ^[9]

Características del producto

Una lista de las principales características y capacidades de los productos YubiKey. ^[36]

ModHex

Cuando se utiliza para contraseñas de un solo uso y contraseñas estáticas almacenadas, YubiKey emite caracteres utilizando un alfabeto hexadecimal modificado que pretende ser lo más independiente posible de la configuración del teclado del sistema. Este alfabeto se denomina ModHex y consta de los caracteres "cbdefghijklnrtuv", que corresponden a los dígitos hexadecimales "0123456789abcdef". ^[37]

Dado que las YubiKeys utilizan códigos de escaneo de teclado sin procesar en modo USB HID, pueden surgir problemas al utilizar los dispositivos en computadoras que están configuradas con diferentes diseños de teclado, como Dvorak . ModHex se creó para evitar conflictos entre diferentes diseños de teclado. Solo utiliza caracteres que se encuentran en el mismo lugar en la mayoría de los teclados del alfabeto latino, pero sigue teniendo 16 caracteres, lo que permite su uso en lugar del hexadecimal. ^[38] Alternativamente, este problema se puede solucionar utilizando las funciones del sistema operativo para cambiar temporalmente a un diseño de teclado estándar de EE. UU. (o similar) cuando se utilizan contraseñas de un solo uso. Sin embargo, los dispositivos YubiKey Neo y posteriores se pueden configurar con códigos de escaneo alternativos para que coincidan con diseños que no son compatibles con el conjunto de caracteres ModHex. ^[39]

Este problema sólo se aplica a los productos YubiKey en modo HID, donde deben emular la entrada del teclado. La autenticación U2F en los productos YubiKey evita este problema utilizando el protocolo alternativo U2FHID, que envía y recibe mensajes binarios sin procesar en lugar de códigos de escaneo del teclado. ^[40] El modo CCID actúa como un lector de tarjetas inteligentes, que no utiliza protocolos HID en absoluto.

Problemas de seguridad

Preocupaciones sobre el código cerrado de YubiKey 4

La mayor parte del código que se ejecuta en una YubiKey es de código cerrado. Si bien Yubico ha publicado algunos códigos para funciones estándar de la industria como PGP y HOTP, se reveló que a partir de la cuarta generación del producto, este no es el mismo código que se incluye en las nuevas unidades. ^{[41] [42]} Debido a que las nuevas unidades tienen un firmware bloqueado de forma permanente en la fábrica, no es posible compilar el código de fuente abierta y cargarlo en el dispositivo de forma manual; el usuario debe confiar en que el código de una nueva llave sea auténtico y seguro.

El código para otras funcionalidades como U2F , PIV y Modhex es completamente de código cerrado.

El 16 de mayo de 2016, el director de tecnología de Yubico, Jakob Ehrensvärd, respondió a las preocupaciones de la comunidad de código abierto con una publicación en su blog diciendo que "nosotros, como empresa de productos, hemos tomado una postura clara contra las implementaciones basadas en componentes estándar y creemos además que algo como un controlador AVR o ARM de grado comercial no es apto para ser utilizado en un producto de seguridad". ^[43]

El fundador de Techdirt, Mike Masnick , criticó duramente esta decisión y dijo: "El cifrado es complicado. Casi siempre hay vulnerabilidades y errores, algo que hemos estado diciendo mucho últimamente. Pero la mejor manera de solucionarlos suele ser conseguir que el código sea examinado por la mayor cantidad posible de personas con conocimientos. Y eso no es posible cuando es de código cerrado". ^[44]

Vulnerabilidad de ROCA en ciertos dispositivos YubiKey 4, 4C y 4 Nano

En octubre de 2017, los investigadores de seguridad encontraron una vulnerabilidad (conocida como ROCA ) en la implementación de la generación de pares de claves RSA en una biblioteca criptográfica utilizada por una gran cantidad de chips de seguridad de Infineon , como los que se usan en una amplia gama de claves de seguridad y productos de token de seguridad (incluido YubiKey). La vulnerabilidad permite a un atacante reconstruir la clave privada utilizando la clave pública. ^{[45] [46]} Todos los dispositivos YubiKey 4, YubiKey 4C y YubiKey 4 Nano dentro de las revisiones 4.2.6 a 4.3.4 se vieron afectados por esta vulnerabilidad. ^[47] Yubico solucionó este problema en todos los dispositivos YubiKey 4 que se envían al cambiar a una función de generación de claves diferente y ofreció reemplazos gratuitos para cualquier clave afectada hasta el 31 de marzo de 2019. En algunos casos, el problema se puede evitar generando nuevas claves fuera de YubiKey e importándolas al dispositivo. ^[48]

Protección de contraseña OTP en YubiKey NEO

En enero de 2018, Yubico reveló una vulnerabilidad moderada en la que la protección con contraseña de la función OTP en YubiKey NEO podía eludirse en determinadas condiciones. El problema se corrigió a partir de la versión de firmware 3.5.0 y Yubico ofreció claves de reemplazo gratuitas a cualquier usuario que afirmara estar afectado hasta el 1 de abril de 2019. ^[49]

Aleatoriedad inicial reducida en ciertos dispositivos de la serie FIPS

En junio de 2019, Yubico publicó un aviso de seguridad que informaba sobre una aleatoriedad reducida en dispositivos con certificación FIPS con versiones de firmware 4.4.2 y 4.4.4 (no existe la versión 4.4.3), poco después del encendido. ^[50] Las claves de seguridad con aleatoriedad reducida pueden hacer que las claves sean más fáciles de descubrir y comprometer de lo esperado. El problema afectó solo a la serie FIPS y, por lo tanto, solo a ciertos escenarios, aunque el uso de FIPS ECDSA era "de mayor riesgo". La empresa ofreció reemplazos gratuitos para cualquier clave afectada.

Recuperación de clave privada ECDSA de Infineon

En septiembre de 2024, los investigadores de seguridad de NinjaLab descubrieron una falla criptográfica en los chips Infineon que permitiría a una persona clonar una Yubikey si un atacante obtuviera acceso físico a ella. La vulnerabilidad de seguridad afecta permanentemente a todas las Yubikey anteriores a la actualización de firmware 5.7. Yubico calificó el problema como "moderado" citando la necesidad de que un atacante tenga acceso físico a la clave, equipo costoso y conocimientos criptográficos y técnicos avanzados. ^{[51] [52] [53]}

Activismo social

En 2018, Yubico regaló YubiKeys gratuitas con logotipos grabados con láser a los nuevos suscriptores de WIRED y ArsTechnica. ^[54]

Yubico proporcionó 500 YubiKeys a los manifestantes durante las protestas de Hong Kong de 2019-2020 . La empresa afirma que la decisión se basó en su misión de proteger a los usuarios vulnerables de Internet y trabajar con los defensores de la libertad de expresión . ^{[55] [56]}

Véase también

• Alianza FIDO
• Llave nitro
• Tarjeta OpenPGP

Referencias

1. "Descripción general de las especificaciones". FIDO Alliance . Consultado el 4 de diciembre de 2015 .
2. "¿Qué es un Yubikey?". Yubico . Consultado el 7 de noviembre de 2014 .
3. McMillan (3 de octubre de 2013). «Facebook empuja las contraseñas un paso más cerca de la muerte». Wired . Consultado el 7 de noviembre de 2014 .
4. Diallo, Amadou (30 de noviembre de 2013). «Google quiere que tus contraseñas queden obsoletas». Forbes . Consultado el 15 de noviembre de 2014 .
5. Blackman, Andrew (15 de septiembre de 2013). «Dígale adiós a la contraseña». The Wall Street Journal. Archivado desde el original el 3 de enero de 2014. Consultado el 15 de noviembre de 2014 .
6. "Autenticación con YubiKey". LastPass . Consultado el 15 de noviembre de 2014 .
7. "KeePass y YubiKey". KeePass . Consultado el 15 de noviembre de 2014 .
8. "Yubico lanza la clave de seguridad FIDO U2F". Yubico (nota de prensa). 2014-10-21 . Consultado el 2018-05-05 .
9. "Yubico lanza un nuevo programa para desarrolladores y una clave de seguridad para las especificaciones FIDO2 y WebAuthn W3C" (Nota de prensa). 2018-04-10 . Consultado el 2018-05-06 .
10. "Mejoras de YubiKey 5.2 para la compatibilidad con OpenPGP 3.4 - Yubico".
11. "Lanzamiento de la YubiKey de cuarta generación". Yubico . Consultado el 20 de noviembre de 2015 .
12. "Con un toque, Yubico y Docker revolucionan la firma de código". Yubico . Consultado el 20 de noviembre de 2015 .
13. "Configuración de Windows Server para la autenticación PIV de YubiKey". Yubico . Consultado el 6 de junio de 2021 .
14. "Certificados de usuario SSH". developer.yubico.com . Consultado el 6 de junio de 2021 .
15. "El equipo". Yubico . Consultado el 12 de septiembre de 2015 .
16. "Historia de FIDO". FIDO Alliance . Consultado el 16 de marzo de 2017 .
17. "Yubico lanza las nuevas llaves YubiKey 5 Series 2FA, compatibles con FIDO2 sin contraseña y NFC". Android Police . 2018-09-24 . Consultado el 2019-10-07 .
18. "Yubico lanza YubiKey Pilot Box". Yubico. 2007-11-26. Archivado desde el original el 2008-02-21 . Consultado el 2018-05-06 .
19. Steve Gibson (abril de 2008). "Security Now! Notas para el episodio n.° 141". Security Now! . Gibson Research Corporation . Consultado el 5 de mayo de 2018 .
20. Leo Laporte y Steve Gibson (24 de abril de 2008). "Episodio n.° 141: Conferencia RSA 2008". Security Now! . Gibson Research Corporation . Consultado el 5 de mayo de 2018 .
21. Mike (27 de agosto de 2009). "Yubikey II – lo conseguí". Lee mi maldito blog . Consultado el 5 de mayo de 2018 .
22. "Información de la empresa". Yubico . Consultado el 30 de noviembre de 2020 .
23. "RFID YubiKey". Tienda Yubico . Archivado desde el original el 2011-08-29 . Consultado el 2018-05-05 .
24. "RFID YubiKey". Tecnología IDivine . Consultado el 5 de mayo de 2018 .
25. "Yubico lanza YubiKey Nano, el token de contraseña de un solo uso más pequeño del mundo" (Comunicado de prensa). Yubico. 2012-02-28 . Consultado el 2018-05-05 .
26. Clark, Sarah (22 de febrero de 2012). "Yubico presenta un token de contraseña de un solo uso que protege el acceso al contenido de los teléfonos NFC". NFC World . Consultado el 5 de mayo de 2018 .
27. Maples, David (26 de diciembre de 2012). "Dispositivo compuesto YubiKey NEO". Yubico . Consultado el 5 de mayo de 2018 .
28. "Yubico presenta el primer dispositivo universal de segundo factor FIDO Ready™ de la industria". Yubico (nota de prensa). 2014-01-06 . Consultado el 2018-05-05 .
29. "Hardware YubiKey". Yubico . Archivado desde el original el 7 de noviembre de 2014.
30. "pamu2fcfg no admite dispositivos de prueba". GitHub .
31. "Yubico lanza YubiKey Edge en RSA 2015; autenticación de dos factores OTP y U2F en una sola clave". Yubico (nota de prensa) . Consultado el 5 de mayo de 2018 .
32. "NUEVO YubiKey 4C con USB-C revelado en CES 2017 | Yubico". Yubico . 2017-01-05 . Consultado el 14 de septiembre de 2017 .
33. "¿Se puede conectar la YubiKey 4C directamente a teléfonos o tabletas Android con puertos USB-C? | Yubico". Yubico . Archivado desde el original el 2017-09-14 . Consultado el 2017-09-14 .
34. "¡Nuestra familia está creciendo! Se presentó la YubiKey 4C Nano en Microsoft Ignite". Yubico. 2017-09-25 . Consultado el 2018-05-05 .
35. Jones, Michael (20 de marzo de 2018). "Recomendación candidata (CR) para la especificación de autenticación web". Grupo de trabajo de autenticación web del W3C . Consultado el 6 de mayo de 2018 .
36. "¿Qué YubiKey tienes?" . Consultado el 11 de febrero de 2021 .
37. E, Jakob (12 de junio de 2008). "Modhex: ¿por qué y qué es?". Yubico. Archivado desde el original el 16 de noviembre de 2017. Consultado el 6 de noviembre de 2016 .
38. "Codificación hexadecimal modificada (ModHex)". docs.yubico.com . Consultado el 1 de septiembre de 2023 .
39. Toh, Alvin (24 de julio de 2013). "Expansión de la compatibilidad con teclados YubiKey". Yubico . Consultado el 5 de mayo de 2018 .
40. "Especificación del protocolo FIDO U2F HID". FIDO Alliance. 2017-04-11 . Consultado el 2018-05-06 .
41. "Una comparación de tarjetas de claves criptográficas". LWN.net . Consultado el 21 de septiembre de 2020 .
42. "Malas noticias: YubiKey, pionera en autenticación de dos factores, abandona PGP de código abierto para su versión propietaria". techdirt . Consultado el 21 de septiembre de 2020 .
43. "Hardware seguro frente a código abierto". Yubico.com . Consultado el 18 de septiembre de 2022 .
44. Masnick, Mike (16 de mayo de 2016). "Malas noticias: YubiKey, pionera en autenticación de dos factores, abandona PGP de código abierto para una versión propietaria". Techdirt . Consultado el 27 de marzo de 2020 .
45. "ROCA: Generación de RSA vulnerable (CVE-2017-15361) [wiki de CRoCS]". crocs.fi.muni.cz . Consultado el 19 de octubre de 2017 .
46. "NVD - CVE-2017-15361". nvd.nist.gov . Consultado el 19 de octubre de 2017 .
47. "Problema de generación de claves RSA de Infineon: portal del cliente". Yubico.com . Consultado el 11 de junio de 2019 .
48. "Recomendaciones de mitigación de Yubico". Yubico.com . Consultado el 11 de junio de 2019 .
49. "Aviso de seguridad YSA-2018-01". Yubico . Consultado el 4 de enero de 2021 .
50. "Aviso de seguridad YSA-2019-02 Aleatoriedad inicial reducida en claves FIPS" . Consultado el 14 de junio de 2019 .
51. "Ataque de canal lateral en la serie YubiKey 5" (PDF) . NinjaLab . Consultado el 18 de septiembre de 2024 .
52. "Aviso de seguridad YSA-2024-03". Yubico . Consultado el 18 de septiembre de 2024 .
53. Goodin, Dan (3 de septiembre de 2024). "Las YubiKeys son vulnerables a ataques de clonación gracias a un canal lateral recientemente descubierto". Ars Technica . Consultado el 18 de septiembre de 2024 .
54. Manning, Ronnie (1 de febrero de 2018). "Los expertos de WIRED y Ars Technica eligen YubiKey 4 para nuevos suscriptores". Yubico . Consultado el 1 de septiembre de 2023 .
55. "La empresa tecnológica sueca Yubico entrega a los manifestantes de Hong Kong claves de seguridad gratuitas en medio de temores por las tácticas policiales en línea". South China Morning Post . 2019-10-10 . Consultado el 2019-10-18 .
56. "Yubico 贊助香港抗爭者世上最強網上保安鎖匙 Yubikey | 立場新聞".立場新聞 Stand News (en chino) . Consultado el 18 de octubre de 2019 .

Enlaces externos

• Sitio web oficial