web-dev-qa-db-ja.com

YubiKey 4オープンソースのOpenPGP実装はありますか?

YubiKeyの以前のバージョン(NeoやNeo-Nなど)では Open Source Java applet を使用してOpenPGPの署名、暗号化、認証を処理していましたが、これが新しい YubiKey 4 にも当てはまる場合は、yubicoのWebサイト/ドキュメント。

8
Jonathan Cross

いいえ、Yubikey 4は オープンソースではありません

実装はオープンソースではありません、それは正しいです。安全性を確保するために、コードの内部と外部のレビューを行っています。リンク先のバグが十分に実証されているため、オープンソースコードがバグ/脆弱性の検出を保証するものではないことを覚えておくことが重要です。このバグは、ykneo-openpgpのベースとなっている上流プロジェクトから継承されたものであり、ソースコードの監査では検出されませんでした。それを発見したのは、デバイス自体との相互作用でした。

私たちは皆オープンソースを目指しており、コードをできる限り多くのコードでオープンソース化するように努めていますが、この場合はそうであるとは限りません。 1つの理由は、YubiKey NEOでは、各アプレットが独自のサンドボックスで実行され、システムの他の部分から分離されており、独自に監査/推論できるためです。これは、システムの各部分が他のいくつかと相互作用するYubiKey 4には当てはまりません。 ykneo-openpgpが(既存のプロジェクトを活用できることを除いて)オープンソースプロジェクトとして実装されたもう1つの理由は、さまざまなデバイスで実行できるため、他の人にとっても有用だったからです。繰り返しますが、これはYubiKey 4で実行される実装には当てはまりません。

Yubikey NEOなどの古いデバイスはオープンソースアプレットを使用していましたが、新しいYubikey 4デバイスは独自のクローズドソース実装に静かに切り替えました。

6
Jonathan Cross