YubiKey には、YubiKey 4やYubiKey U2Fなど、さまざまなバリエーションがあります。すべてのYubiKeyはハードウェアトークンであり、USBポートに接続されています。ほとんどが誘導ボタンを備えており、1つのモデルには [〜#〜] nfc [〜#〜] ( YubiKey Neo )もあります。バリアントは、フォームファクターと サポートされる機能 の数に関して異なります。
YubiKey 4 はいくつかの機能を提供します:
- [〜#〜] otp [〜#〜] 生成
- OATH互換のOTP生成(つまり [〜#〜] hotp [〜#〜] および [〜#〜] totp [〜#〜] )
- 挿入されたチップカードリーダーをエミュレート OpenPGPチップカード (最大4KビットのRSAまたは256ビット [〜#〜] ecc [〜#〜] 秘密鍵のサイズ)
- 機能 PIVデバイス (最大2KビットのRSAまたは256ビット [〜#〜] ecc [〜#〜] 秘密鍵のサイズ)
- 2F デバイスとして機能
- 静的パスワードを再生する
一部の機能については、 SB HID デバイスとして表示されます。
マルチ機能のYubiKey 4の類似またはサブセットを提供する代替ソリューションがあります。たとえば、OpenPGP互換のチップカードと組み合わせたクラシックハードウェアチップカードリーダー(おそらくキーパッドを備えたもの)です。
YubiKey U2F は、U2Fデバイスのみです。つまり、Origin固有の公開/秘密キーペアを生成し、キーハンドルと公開キーを呼び出し元に返すことができるデバイスです。他の安価なU2Fデバイスと同様に、秘密キーは格納されず、対称的に暗号化され(内部キーで)、キーハンドルとして返されます。キーハンドルを使用して、U2fデバイスはチャレンジに署名できるため、多要素認証の一部として応答を作成できます。
U2Fはオープンスタンダードであるため(これもGoogleなどの企業によって推進されています)、利用可能な代替の安価なU2Fハードウェアトークンがいくつかあります( ' [〜#〜] fido [〜#〜] U2Fキーを検索してください')。
私が理解しているように、YubikeyはUSBキーボードのように動作します。コンピューターに接続し、フォームフィールドにカーソルを置き、Yubikeyのボタンを押すと、44文字を入力しているように、44文字のテキスト文字列がコンピューターに送信されます。コンピュータは、それを入力するか、それを生成するユビキーの違いを知りません。
Wordpress Yubikeyプラグインを備えたサイト、FirefoxのLastpassアドオンなどのWebサイト、またはYubikeyオプションを備えたその他のWebサイトには、ユーザー名、パスワード、およびYubikeyパスワードを含むログインフォームがあります。ユーザー名とパスワードを入力し、カーソルをYubikeyフィールドに置き、Yubikeyボタンを押すと、フィールドにYubikeyパスワードが入力されます。
次にフォームが送信され、YubikeyがYubicloudで検証されます。 Webサイトは、入力されたYubikeyパスワードが有効かどうかを確認します。 Yubikey自体はYubicloudに接続しません。これは、文字列を生成してキーボードのように機能するデバイスを生成するだけのデバイスであり、インターネットなど、そのキーボード以外には接続しません。
これらすべてが機能する前に、Yubikeyを使用するためにWebサイトのアカウントを更新する必要があります。つまり、キーをアカウントにリンクする必要があります。そうすることで、Yubicloudは生成されたコードをチェックし、アカウントに対して検証することができます。
もちろん、ウェブサイトはYubikey機能を実装する必要があります。この機能は、ウェブサイトの所有者向けの無料サービスとして利用できます。
Yubikeyが紛失した場合、Webサイトがアカウントを回復し、Yubikeyを無効にするために必要な通常の回復方法を使用できます。通常、これは電子メールでパスワード回復リンクを取得し、そのリンクがアカウントのYubikey機能を無効にすることを意味します。
この答えが正しいかどうかを確認するために、Yubikeyサポートにメールを送りました。彼らは、この説明は正しいと言いましたが、キーが機能する方法の一部しか説明していませんでした。
ここでの他の答えは、実際の説明はありません。 Linuxjournalの記事でさえ、このように説明されていません。受け入れられた答えはブラックボックスの答えを与えます-私がこのページを開いたときに私が探していたものではありません。この回答がより良い説明を提供し、それを書くことでYubikeyをよりよく理解できたことを願っています。
私が持っているので、お勧めします。私は実際にBSidesLondonに参加していたときに、ユビコの連中から無料で手に入れました。
RSAセキュアキーと考えてください。ただし、はるかに小さく、安価で、バッテリーなしです。 YubiKeyはRSAのものよりもかなり大きなキースペースを持っていますが、(本質的に)同じセキュリティが得られます。また、非常に頑丈で、損傷することなく完全に水に浸すことができます。
これが私のものです:
これは広告のように聞こえますが、本当に素晴らしいです。これらのセキュアキーの束を持ち歩くのに比べて、キーリングではほとんど気付かれません。
動作については、Yubicoが実行するクラウドサービスに対して検証し、2要素認証を提供します。すべてのサーバーソフトウェアはオープンソースであり、独自の認証サーバーを実行できます。それは完全に透明です。
website で詳細を調べてください。技術情報や説明がたくさんあります。
こちらをご覧ください http://www.linuxjournal.com/magazine/yubikey-one-time-password-authentication
次の抜粋は、以前にリンクされた記事の著者であるDirk Merkelによって書かれました。
デバイスのボタンを押すたびに、ワンタイムパスワードが生成され、キーボードで入力した場合と同じようにホストマシンに送信されます。このパスワードは、サービスでユーザーとして認証するために使用できます。
ここでは取り上げるには多すぎるので、5ページの記事を読むことをお勧めします。
私が理解しているところによると、ワンタイムパスワードは、タイムスタンプ(キーがコンピューターに存在していた時間)、Yubikeyセッションスタンプ(コンピューターにプラグインした回数)など、いくつかの異なる情報で構成されています)、ランダム化された特別なコード、パスワードを生成した回数などのスタンプ。暗号化します。次に、その特定のYubikeyに割り当てられた特別なコードを叩き、そのコードを再度暗号化します。次に、それはYubikey自身に送信され(彼らはすべての特別なコードを知っているため)、キーが正しいこと、および何であってもそれらを確認します。次に、Googleのように、サインインしようとしている人に、あなたが適切な人物であることを伝え、Googleが許可します。
文字列やパスワードをデバイスに保存し、クリックするとパスワードが表示されるなど、他の機能もあります。かなり簡単です。