Yubikey

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen
Yubico Inc.
Rechtsform Corporation
Gründung 2007
Sitz Palo Alto, USA
Leitung Stina Ehrensvärd
(Gründer und CEO)
Jakob Ehrensvärd
(CTO)
Branche Software
Website www.yubico.com

Yubikey 4 am Schlüsselring und daneben die Bauform Nano

Der Yubikey ist ein Security-Token der Firma Yubico, der mit Schnittstellen wie Near Field Communication (NFC) oder USB und vielfältigen Protokollen zur Identifizierung und Authentifizierung von Benutzern an Computersystemen verwendet wird. Er erlaubt unter anderem die sichere passwortlose Authentifizierung. Yubico verwendet dabei Open-Source-Software wie OpenPGP und offene Standards wie U2F zur Zwei-Faktor-Authentisierung für die Betriebssysteme Microsoft Windows, macOS und Linux.[1] Aus Sicherheitsgründen kann Software auf Yubikey weder ausgelesen noch verändert werden. Bei einem Update muss das Gerät durch ein neues Modell ersetzt werden.[2] Geheime private Schlüsseldaten können am Token erzeugt oder auf das Token geschrieben werden aber nachfolgend nicht ausgelesen werden.

Da die Hardware im Unterschied zu Konkurrenzprodukten wie dem Nitrokey nicht quelloffen ist, sind unabhängige Prüfungen nach Hintertüren oder Sicherheitslücken kaum möglich.

Aufbau[Bearbeiten | Quelltext bearbeiten]

Yubikeys sind in wasserdichten Gehäusen untergebracht. Sie enthalten als primäre Schnittstelle einen USB-Port mit USB-A-Stecker oder den neueren USB-C-Stecker. Der für manche Betriebsarten notwendige Taster am Security-Token für die Bestätigung einer Aktion ist als Sensortaste ohne mechanisch bewegte Teile ausgeführt. Yubikey Neo und Yubikey 5 umfassen eine berührungslose NFC-Schnittstelle, wobei auch die Stromversorgung für den Yubikey via NFC erfolgt. Der Funktionsumfang ist bei beiden Schnittstellen identisch.

Die Modelle Yubikey 4 und Yubikey NEO verwenden einen Mikrocontroller der Firma NXP Semiconductors. Im Nachfolgemodell Yubikey 5 ist die Anzahl der Bauelemente reduziert. Der verwendete Kryptoprozessor von Infineon vom Typ SLE 78CLUFX5000PH erlaubt eine Sicherheitszertifizierbarkeit bis zur Stufe EAL6. Er ist gegen ein Auslesen gesicherter Speicher und aller Schnittstellen wie USB-Anschluss und NFC-Schnittstelle geschützt.[3]

Protokolle[Bearbeiten | Quelltext bearbeiten]

Über die USB-Schnittstelle können Yubikeys drei verschiedenartige und virtuelle USB-Geräte emulieren und damit vielfältige Funktionen anbieten: OTP, FIDO und CCID. Die drei USB-Protokolle lassen sich je miteinander kombinieren oder wenn nicht benötigt, auch deaktivieren.[4]

Das USB-Protokoll OTP, abgeleitet vom Begriff One-Time-Pad, stellt das ursprüngliche USB-Protokoll für Security-Token dar. Es erlaubt am Yubikey die Konfiguration von zwei sogenannten englisch Slots, dt. etwa Speicherpositionen. Jeder Slot kann unabhängig eine Funktion samt die dafür notwendigen Daten wie geheime Schlüssel aufnehmen. Bei Yubikey 4 sind dies bei OTP folgende Auswahlmöglichkeiten:

Die jeweilige OTP-Funktion kann oder muss mit der Sensortaste verknüpft werden, d. h. man drückt zur Auslösung sein Einverständnis durch Tasten-Betätigung aus. Je nach dem wie lange man die Taste drückt, löst man die Funktion vom Slot 1 oder Slot 2 aus.

Mit dem USB-Protokoll FIDO (für FIDO-Allianz), stellt der Yubikey den englisch Universal Second Factor U2F zur Verfügung. Das Modell Yubico FIDO bietet nur das FIDO-USB-Protokoll an. Das Verfahren U2F setzt zwingend die Bestätigung des Benutzer am Token voraus, andernfalls das Token die U2F-Antwort verweigert. Diese Funktion übernimmt die Sensortaste, die bei jeder U2F-Aktion einmalig zu drücken ist. Im Rahmen von U2F werden, im Gegensatz zu anderen Betriebsdaten, keine benutzerspezifischen Daten am Token gespeichert. Yubikey 5 unterstützt auch den W3C-Standard WebAuthn welcher Teil des Projektes FIDO2 ist und auf U2F und UAF (englisch Universal Authentication Framework) aufbaut.[5]

Mit dem dritten USB-Protokoll CCID emuliert der Yubikey einen Chipkartenleser am USB-Anschluss und bietet vom Hersteller programmierte unveränderliche Smart-Card-Anwendungen an, die dem Chipkartenstandard ISO 7816 entsprechen. Am Yubikey 4 sind unter anderem folgende CCID-Anwendungen verfügbar (diese erfordern eine entsprechende Software am Host-System):

  • OATH HOTP: identisch mit der Basisfunktion OTP, doch können sind bis zu 32 Konfigurationen möglich
  • OATH TOTP. Da Yubikey keine Uhr zur Einmalpasswort-Berechnung enthält, wird die aktuelle Systemzeit via CCID an das emulierte Chipkartenprogramm OATH TOTP übertragen. Es sind bis zu 32 Konfigurationen möglich.
  • OpenPGP Smart Card in der Version 2.0[6]
  • Eine englisch Personal Identity Verification nach FIPS 201, die unter anderem US-Behörden zur Identitätsfeststellung verwenden.

Sicherheitsprobleme[Bearbeiten | Quelltext bearbeiten]

Im Oktober 2017 wurde bekannt, dass die unter anderem beim Yubikey 4 eingesetzte CCID-Applikation OpenPGP auf der fehlerhaften Softwarebibliothek RSALib von Infineon basiert, wodurch die Erzeugung von RSA-Schlüsselpaaren direkt am Token anfällig für die ROCA-Verwundbarkeit ist.[7] Betroffene Geräte ersetzte Yubico kostenfrei durch neue Yubikeys.[8]

Das Kunststoffgehäuse der ersten Yubikey-Versionen wie Yubikey Neo ließ sich in siedendem Aceton leicht chemisch auflösen. Dadurch war die Leiterplatte zerstörungsfrei zugänglich. Obwohl aus den integrierten Schaltkreisen von NXP Semiconductors keine Daten auszulesen waren, wurde in späteren Generationen wie Yubikey 5 der Kunststoff verbessert.[9]

Weblinks[Bearbeiten | Quelltext bearbeiten]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. Free and Open Source Tools. Abgerufen am 29. Dezember 2018.
  2. Upgrading YubiKey Firmware. Abgerufen am 29. Dezember 2018.
  3. Inside Yubikey 5 Neo. Abgerufen am 30. Dezember 2018.
  4. YubiKey 4 Technical Specifications. Abgerufen am 29. Dezember 2018.
  5. Introducing the YubiKey 5 Series with New NFC and FIDO2 Passwordless Features. Abgerufen am 31. Dezember 2018.
  6. The OpenPGP card. Abgerufen am 29. Dezember 2018.
  7. ROCA: Vulnerable RSA generation (CVE-2017-15361) [CRoCS wiki] (en)
  8. Infineon RSA Key Generation Issue - Customer Portal.
  9. Inside Yubikey Neo. Abgerufen am 29. Dezember 2018.