Něco málo o Yubikey

25.07.2021 | Tag Bezpečnost

O Yubikey se dá i na českém internetu najít spoustu informací, s tím se nemůžu měřit. Sepsala jsem tedy pouze pár bodů pro doplnění návodů zde na blogu.

Nemůžu říct, že bych k Yubikey došla úplně sama. Prvně jsem se s ním setkala v práci a čím víc jsem o něm zjistila, tím víc jsem chtěla mít Yubikey i na domácí použití. Nakonec mám i jiné tokeny, ale Yubikey je pro mě pořád favorit.

Yubikey má různé formy a podporuje různé standardy. Aktuálně je venku série 5, nejdražší model z té série u nás vychází na cca 1200 Kč s tím, že podporuje všechny bezpečnostní funkce nabízené Yubicem. K dispozici jsou pak i lacinější modely s omezenou funkčností. Hardwarově jsou klíče také v různých variantách, liší se primárně v použitém USB konektoru, podpoře NFC a také pro uživatele nabízí různé velikosti čistě dle osobní volby. Miniaturní podoba klíče se jmenuje nano a je opravdu titěrná. Je myšlena pro situaci, kdy je klíček neustále zapojený v USB slotu. Má své kouzlo, ale pokud ho někdy musíte dostat z USB ven, je to zážitek. Pro tahání klíče s sebou je nejlepší klasická varianta.

Yubico u série 5 zmiňuje water resistant (IP68) a crush resistant. Já sama se snažím s klíčkem nedělat žádné harakiri, ale pravda je, že ho pravidelně cpu do slotu blbě, několikrát jsem ho poslala k zemi a párkrát zašlápla. Zatím se to na něm nijak nepodepsalo :). Je dobré vědět, že Yubikey nejde updatovat. Firmware řídí přímo Yubico a neumožňuje jej uživatelsky měnit. Je to kvůli zajištění bezpečnosti, i když to znamená, že koupený klíček je zamknutý v čase. Aktuální verze klíčku se dá zjistit v Yubikey Manageru. Například já měla v době psaní článku verzi 5.2, venku byla verze 5.4.

Firma Yubico má k Yubikey moc hezkou technickou guidu. Na stejné doméně je pak porovnání sérií. Nicméně Yubico má nešťastnou tendenci neustále zdroje někam stěhovat, tak kdo ví, jak dlouho ty odkazy vydrží funkční. Nerada bych guidu přepisovala jen proto, abych si zamachrovala, proto ke schopnostem Yubikey napíšu jen něco. Správa Yubikey je možná přes dva programy: Yubikey Manager a YubiKey Personalization Tool. Personalization Tool zatím funguje, ale už se aktivně nevyvíjí. Nástupcem je Yubikey Manager, kde paradoxně oproti předchozímu v GUI verzi dost věcí na první pohled chybí. Vše by však mělo jít dohnat ve CLI verzi.

K CLI verzi se dá doklikat v instalační složce Yubikey Manageru. V příkazovce je pak možné zavolat help.

Yubikey má dva konfigurační sloty pro některé (některé, ne všechny) z podporovaných aplikací (například u certifikátů jsou využívané také sloty, ale virtuální, které s těmito dvěma nemají nic společného). První, tzv. short touch je na krátký stisk tlačítka, které na sobě klíček má. Druhý, long touch, je v režimu stiskni a drž 3 vteřiny. Mimochodem, ač se to může zdát, tlačítko na klíčku je opravdu jen tlačítko. Žádný otisk prstu. Nicméně, brzy by mělo vyjít Yubikey Bio a to bude jiné kafe.. Slot 1 už je z výroby předkonfigurovaný na Yubico OTP. Má v sobě unikátní klíč pro použití s YubiCloudem. Není nutné to používat, ale po přepisu slotu se unikátní klíč ztratí. Případně není problém sloty prohazovat mezi sebou.

Podle zvoleného modelu má Yubikey k dispozici USB a případně NFC interface. Píšu to proto, že v manageru se dá řídit, které aplikace jsou na kterém interface dostupné.

Aplikace, které Yubikey nabízí, by vydaly na samostatný článek. Tedy zkráceně: série 5 podporuje OTP, U2F, FIDO2, PIV, OATH, OpenPGP, HMAC-SHA1 Challenge-Response a statické heslo. Jednotlivé aplikace jsou hezky popsané v guidě výše. Já pak třeba psala o zabezpečení Keepassu pomocí HMAC-SHA1 Challenge-Response. Doufám, že k jednotlivým aplikacím napíšu další články, třeba zabezpečení SSH přihlášení k Linuxu pomocí Yubikey a U2F je moc hezké, ale velkou překážkou je mapování klíče v MS a virtualizaci.