YubiKey (YubiKey) es una llave de seguridad de hardware fabricada por Yubico que admite el protocolo de autenticación universal de dos factores , contraseñas de un solo uso y cifrado asimétrico . Esto permite a los usuarios iniciar sesión de forma segura en las cuentas utilizando contraseñas de un solo uso generadas o utilizando pares de claves pública/privada generadas en el dispositivo. YubiKey también le permite almacenar contraseñas estáticas para usar en sitios que no admiten contraseñas de un solo uso. Facebook y Google usan YubiKey para autenticar a empleados y usuarios. Algunos administradores de contraseñas también admiten YubiKeys. La gama de llaves USB de Yubico incluye Security Key, un dispositivo similar a YubiKey, pero diseñado para la autenticación usando llaves públicas FIDO U2F y FIDO2.
YubiKeys utiliza los algoritmos HOTP y TOTP al emular un teclado de protocolo USB HID . YubiKey NEO y la serie YubiKey 4 incluyen compatibilidad con protocolos como la tarjeta inteligente OpenPGP con RSA de 2048 bits y criptografía elíptica (p256, p384), FIDO U2F y NFC . YubiKeys permite a los usuarios firmar, cifrar y descifrar mensajes sin compartir claves privadas con terceros o software. La cuarta generación de YubiKey se lanzó el 16 de noviembre de 2015. Estos dispositivos son compatibles con OpenPGP con claves RSA de 4096 bits y PKCS#11 para tarjetas inteligentes compatibles con PIV, funciones que permiten la firma de código ejecutable de imágenes Docker .
Yubico fue fundada en 2007 por Stina Ehrensverd (CEO). Es una empresa privada con oficinas en Palo Alto , Seattle y Estocolmo . El ingeniero jefe de Yubico, Jakob Ehrenswerd, fue el autor principal de las especificaciones originales para la autenticación sólida que se conoció como autenticación universal de dos factores (U2F).
Yubico se fundó en 2007 e inició sus actividades con la entrega de la Caja Piloto a los desarrolladores en noviembre del mismo año. El producto YubiKey original se presentó en la conferencia anual de RSA en abril de 2008 y el modelo YubiKey II más confiable se lanzó en 2009.
Yubikey II y los modelos posteriores tienen dos ranuras de datos para almacenar dos configuraciones diferentes con secretos AES separados y otras configuraciones. Durante la autenticación, la primera ranura se usa cuando se presiona brevemente el botón del dispositivo, mientras que la segunda ranura se usa cuando se presiona el botón durante 2 a 5 segundos.
En 2010, Yubico comenzó a ofrecer modelos de llaves YubiKey OATH y YubiKey RFID. Se agregó al modelo YubiKey OATH la capacidad de generar contraseñas de un solo uso de 6 y 8 dígitos utilizando protocolos de OATH, además de las contraseñas de 32 dígitos utilizadas por el propio esquema OTP de Yubico. El modelo YubiKey RFID incluía funciones OATH con un chip RFID MIFARE Classic 1k agregado. Sin embargo, era un dispositivo separado en un diseño de este tipo, en el que no era posible configurarlo a través de USB usando el software regular de Yubico.
En febrero de 2012, Yubico presentó la YubiKey Nano, una versión en miniatura de la YubiKey estándar que fue diseñada para caber completamente dentro de un puerto USB, con una pequeña almohadilla táctil que sobresale hacia afuera. La mayoría de los siguientes modelos estaban disponibles en versiones estándar y "nano".
2012 también estuvo marcado por la presentación del modelo YubiKey Neo, que fue el desarrollo de las ideas del producto YubiKey RFID, con soporte integrado para tecnología NFC combinado con un factor de forma de dispositivo USB. YubiKey Neo (así como Neo-n, la versión "nano" del producto) tiene la capacidad de enviar contraseñas de un solo uso a los lectores NFC como parte de las URL personalizadas contenidas en los mensajes NFC Data Exchange Format (NDEF). Además de la emulación de teclado USB HID, el Neo también es compatible con la comunicación CCID. El modo CCID se usa para tarjetas inteligentes compatibles con PIV y compatibilidad con OpenPGP , mientras que USB HID se usa para la autenticación de contraseña de un solo uso.
En 2014, las claves de YubiKey Neo se actualizaron para admitir la autenticación universal de dos factores (FIDO U2F). A finales de este año, Yubico lanzó la llave de seguridad FIDO U2F, que incluía soporte para U2F, pero no soporte para las otras características de contraseña de un solo uso, contraseña estática, tarjeta inteligente o NFC incluidas con los modelos anteriores de YubiKey. En el lanzamiento, estas teclas se vendieron a un precio más bajo ($ 18) que YubiKey Standard ($ 25 y $ 40 para la versión "nano") y YubiKey Neo ($ 50, $ 60 para el Neo-n).
En abril de 2015, la empresa lanzó YubiKey Edge, en factores de forma estándar y "nano". Este modelo, en términos de funciones compatibles, ocupaba un nicho entre los productos Neo y FIDO U2F, ya que estaba diseñado para funcionar con contraseñas de un solo uso y autenticación U2F, pero no incluía soporte para tarjetas inteligentes o NFC.
La serie YubiKey 4 llegó al mercado en noviembre de 2015 y constaba de modelos USB-A en tamaños estándar y "nano". YubiKey 4 incluye la mayoría de las funciones de YubiKey Neo, lo que permite el uso de claves OpenPGP de hasta 4096 bits (frente a los 2048 bits utilizados anteriormente), pero sin compatibilidad con NFC.
En CES 2017 , Yubico presentó una serie extendida de teclas YubiKey 4, con un diseño USB-C agregado. YubiKey 4C se lanzó el 13 de febrero de 2017. En el sistema operativo Android , la conexión USB-C solo admite funciones de contraseña de un solo uso, otras funciones, incluida U2F , no son compatibles en este momento. La versión del dongle 4C Nano estuvo disponible en septiembre de 2017.
En abril de 2018, la empresa presentó la clave de seguridad de Yubico, que fue pionera en los nuevos protocolos de autenticación FIDO2 WebAuthn (que se convirtió en candidato para una recomendación del W3C en marzo ) y CTAP (en desarrollo, a partir de octubre de 2018). d.) El dispositivo está disponible en un factor de forma estándar con tipo de conexión USB-A. Al igual que el modelo anterior de llave de seguridad FIDO U2F, el dispositivo tiene un cuerpo azul y un botón con el icono de una llave. Una característica distintiva es el número "2" grabado en el plástico entre el botón y el orificio del llavero. Este modelo también es económico en comparación con los modelos YubiKey Neo y YubiKey 4, a $20 por unidad. en el momento de salir a la venta. Estas claves no admiten contraseñas de un solo uso ni funciones de tarjeta inteligente, como en los modelos más caros, pero el dispositivo admite FIDO U2F.
El 23 de septiembre de 2018, se presentó la quinta generación de claves: YubiKey 5. Esta serie difiere del soporte anterior para los protocolos FIDO2 / WebAuthn con autenticación sin contraseña y el modelo habilitado para NFC: YubiKey 5 NFC, que reemplazó a YubiKey Neo. La serie YubiKey 5 consta de cuatro llaves, con el mismo soporte para protocolos criptográficos, pero ejecutadas en diferentes factores de forma: YubiKey 5 NFC (USB-A, NFC), YubiKey 5 Nano (USB-A), YubiKey 5C (USB-C ) y YubiKey 5C Nano (USB-C).
En octubre de 2021, se presentó YubiKey Bio Series - FIDO Edition, una serie de llaves con lector de huellas dactilares, en dos versiones, con conector USB-A y USB-C [1] .
Cuando se usan contraseñas estáticas guardadas y de un solo uso, YubiKey genera caracteres usando un alfabeto hexadecimal modificado, que está diseñado para ser lo más independiente posible de la configuración del teclado del sistema. Este alfabeto, denominado ModHex o Hexadecimal Modificado, consta de los caracteres "cbdefghijklnrtuv" correspondientes a los números hexadecimales "0123456789abcdef". Debido al hecho de que las YubiKeys en modo USB HID usan códigos de escaneo, puede haber problemas al usar las teclas en computadoras con un diseño de teclado diferente, por ejemplo. Dvorak . Al usar contraseñas de un solo uso, se recomienda cambiar temporalmente la configuración del sistema a la distribución de teclado estándar de EE. UU. (o similar). Sin embargo, YubiKey Neo y los modelos posteriores se pueden configurar para usar códigos de exploración alternativos para hacer coincidir un mapa de teclas que no es compatible con ModHex.
La autenticación U2F con las series YubiKey y Security Key evita este problema mediante el uso de un protocolo U2F HID alternativo que envía y recibe datos binarios sin el uso de códigos de escaneo de teclado. El modo CCID funciona como un lector de tarjetas inteligentes y no utiliza el protocolo HID en absoluto.
Yubico en la serie de claves YubiKey 4 ha reemplazado todos los componentes abiertos con componentes de código cerrado que ya no están disponibles para la investigación independiente de vulnerabilidades. Yubico afirma que se han completado todas las revisiones internas y externas de su código. Las claves de YubiKey Neo siguen siendo de código abierto. El 16 de mayo de 2016, el ingeniero jefe de Yubico, Jakob Ehrenswerd, respondió a las inquietudes del público sobre el código abierto en una publicación de blog, reafirmando el compromiso de la empresa de respaldar el código abierto y explicando las razones y los beneficios de las actualizaciones implementadas en YubiKey 4.
En octubre de 2017, los investigadores de seguridad encontraron una vulnerabilidad (conocida como ROCA) en la biblioteca criptográfica de generación de pares de claves RSA utilizada por una gran cantidad de chips de seguridad de Infineon . La vulnerabilidad permite reconstruir la clave privada utilizando la clave pública. Todas las llaves YubiKey 4, YubiKey 4C y YubiKey 4 Nano de las revisiones 4.2.6 a 4.3.4 están afectadas por esta vulnerabilidad. Yubico proporcionó acceso gratuito al software de prueba de vulnerabilidades YubiKey e hizo un reemplazo gratuito de las claves de seguridad.
FIDO2 es una evolución sin contraseña del estándar de autenticación universal de dos factores (FIDO U2F) desarrollado por Yubico y Google. Mientras que el protocolo U2F se basa en nombres de usuario y contraseñas, FIDO2 tiene una gama más amplia de casos de uso, incluida la autenticación sin contraseña. Yubico trabajó en estrecha colaboración con Microsoft para desarrollar las especificaciones técnicas, y la clave de seguridad de Yubico es el primer dispositivo de autenticación habilitado para FIDO2 en el mercado. En septiembre de 2018, se agregó compatibilidad con FIDO2/WebAuthn a la línea de llaves de seguridad YubiKey 5.