2017年11月26日

USB認証鍵Yubikeyの機能

Yubikeyに最近興味を持ちました。
Googleの二段階認証などで使えるハードウェアトークンですが、
スタイリッシュな上、思っていたより機能があります。

ただ、生まれて8年近く立つ商品ですが、セキュリティ専用商品なためか、
日本ではあまり流行っていないようなので、ざっと機能のまとめと、
個人的に気になったオフラインでの利用に関して、調べた結果をまとめてみます。

※購入済みですが、まだ運用していません。公式サイトを見ればわかるようなことのメモです

Yubikeyの機能


Yubikeyには、比較的高価なYubikey4(5000円程度)と、
一番高価なYubikeyNEO(6000円程度)、安価なYubico U2Fセキュリティキー(3000円程度)があります。

それぞれで値段が違うのは、当然使える機能が違うためですが、
NEOが最上位機種かというとそうでもないので注意してください。
ちなみに、超小型版のnano、USB-C用のCもありますが、それらは基本スティック型のと同じです。

機能を以下にまとめます。
・Secure Element
 海底48mに沈めて二ヶ月放置しても、洗濯乾燥機に突っ込んでも壊れない堅牢性と
 分解・解析に対する耐タンパ性を持ちます。
 Yubikeyにデータを書き込むことは簡単にできますが、読み出すことは一切できません。
 そのため、鍵情報などが漏れることはありません。

 不揮発性のカウンタを内蔵しており、同じOTPは生成されません。
 ただし、1日10回使用したとして18年使えるカウント回数があります。

 生体認証等の機能はついていません。これはあくまでYubikeyは
 2要素認証の2要素目として使われる前提のためです。
 自宅の鍵と同じく肌身離さず持ちましょう。
 一方、その性質から、引き継ぎの際には鍵のように渡すだけで済みます。

 ※スマートカードなどにはもちろんPIN保護を掛けられます。

・Yubico OTP*
 Yubico独自のAES暗号を用いたワンタイムパスワード生成です。
 キーボード配列に影響されない英字入力機能を使い、キー入力として動作。
 ブラウザやシステムを選ばず、iPadやスマートフォンでさえ動作します。
 社内システムなどで簡単かつ堅牢なOTPシステムを導入できます。
 無料のOTP検証クラウドサービスYubiCloudがある他、
 自前で検証サーバーを立てることもできます。
 ※U2Fセキュリティキーには搭載されていません

・OATH-HOTP*
 一般的なカウンタ+シークレット方式のワンタイムパスワードを生成します。
 生成はYubikey内で行われるため安全に生成できます。
 ※U2Fセキュリティキーには搭載されていません

・OATH-TOTP*
 一般的な時刻情報方式のワンタイムパスワードを生成します。
 ただし、時計機能を内蔵していないため、時刻情報は外部から取得します。
 生成はYubikey内で行われるため安全に生成できます。
 ※U2Fセキュリティキーには搭載されていません

・FIDO U2F
 Googleなどの二段階認証サービスで利用される規格です。
 公開鍵方式を利用したオンラインでの強固な二段階認証です。
 HIDで通信するためドライバは不要ですが、対応ブラウザが必要です。

・Challenge Response*
 公式的に「ドングルモード」や「無人モード」と呼ばれます。
 オフラインのソフトウェアとの認証に使うことができ、
 Yubikeyが継続的に刺さっているか、あるいは、正しいYubikeyが刺さっているかを
 Yubico OTPか、HMAC-SHA1のチャレンジ&レスポンスで検証することができます。
 
 Yubico OTPは同じチャレンジでも内部カウンタ等により違うレスポンスを返しますが、
 HMAC-SHA1は同じチャレンジの度に同じレスポンスを返します。
 ※U2Fセキュリティキーには搭載されていません

・Static Password*
 静的パスワードモードです。
 BIOSパスワードなどの、OTP等に一切対応していない機器でも、
 長いパスワードをyubikeyに入れておき、先頭数文字を手動で入力後、
 続きをyubikeyに打たせることでセキュリティを強化できます。
 セキュリティは低下しますが、38文字までの全パスワードあるいは、
 ユーザー名とパスワードを入れておくことも可能です。
 (Tabキーや改行、キーコードを入れることができます)
 
 ※U2Fセキュリティキーには搭載されていません

・Smart Card(PIV-Compatible)*
 単体でスマートカードとして動作させることができます。
 そのため、SSHの公開鍵認証や、WindowsPCの認証に使用することができます。
 ※U2Fセキュリティキーには搭載されていません

・OpenPGP*
 PGPの秘密鍵をYubikeyに入れておくことができます。
 メールの署名や、ソースコードの署名に利用できます。
 ※U2Fセキュリティキーには搭載されていません

・NFC通信**
 YubikeyNEOにはNFC機能が内蔵されており、単なるMifareタグとしてのID検証から、
 スマートフォンでのワンタイムパスワードの生成、NFC経由でのOTP等利用できます。
 Yubikey社のオフィスドアはNFC-OTPでロックされているようで、
 単なるRFID検証に比べると非常に安全です。
 ※YubikeyNEOにのみ搭載されています。

・NDEF**
 YubikeyNEOには好みのNDEFタグ情報を書き込み利用することができます。
 ※YubikeyNEOにのみ搭載されています。

・FIPS 140 Certification***
 米国連邦標準規格により、安全性が確認されています。
 ※Yubikey4シリーズのみ。

・オープンソース性(ハードウェアとファームウェアを除く)
 YubikeyNEOは開発者向けの商品であり、オープンソースでした。
 Yubikey4はクローズドソースに移行しており、NEOもクローズ方向に使用が変更されています。
 Yubico社いわく、高セキュリティのためのICの開発環境とオープンソースは相性が悪く、
 オープンソースの恩恵が得られないどころか、負の効果が有るためとしています。

 PC側の設定ツールや、認証サーバー、通信仕様などはオープンに公開されています。

・ファームアップデート機能非搭載
 YubikeyはBadUSB問題等を考慮し、ファームウェアアップデート機能を
 搭載していません。
 そのため、新しい機能が追加された場合、たとえ同じシリーズでも
 新規購入する必要があります。

・マスストレージ機能非搭載
 Yubikeyにはマスストレージ機能(USBメモリ機能)は搭載されていません。
 ウィルス等の感染経路となるためです。

暗号仕様


・RSA 2048
 Yubikey4、NEO両対応

・RSA 4096***
 Yubikey4のみ

・ECC p256**
 全機種対応

・ECC p384***
 Yubikey4のみ

参考文献


次の記事を参照してください。
posted by gpsnmeajp at 19:53| Comment(0) | TrackBack(0) | 雑感
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。
※ブログオーナーが承認したコメントのみ表示されます。
この記事へのトラックバックURL
http://blog.sakura.ne.jp/tb/181684273
※ブログオーナーが承認したトラックバックのみ表示されます。
※言及リンクのないトラックバックは受信されません。

この記事へのトラックバック