воскресенье, 10 декабря 2017 г.

История Yubico + Yubikey и FIDO U2F

Я давно наблюдаю за развитием проекта Юбикей [http://yubico.com], с момента появления этого ключа в 2008. Их идея была довольно новая и смелая - Ключ генерирует Одноразовый Код и "выбрасывает" его наружу в виде нажатий клавиатуры. Драйверов не треубется, работает на любой Операционной Системме. А проверку кода необходимо осуществлять на их Сервере по протоколу разработанному ими же.

Одноразовый Код довольно длинный 44 символа - содержит и идентификатор Ключа и саму часть OTP. Благодоря этому можно было использовать ключ как Единственный фактор для аутентификации. Сам ключ имеет крипто-процессор который генерирует Коды шифруя некий Random.




Напомню что Yubikey это продукт для обеспечения Информационной Безопасности. И в интернете я както нашел инсайт: высказывание бывшего сотрудника о том что компания осуществляла проверку Одноразовых Кодов используя единственный Сервер, мало того что никак не защищенный так еще и работающий в Одном Экземпляре. т.е. в случае сбоя\падения - все клиенты не смогли бы осуществлять авторизацию.
Также на их форуме можно найти упоминание о неком ключе UmiKey это был китайский клон Юбикея, причем с онлайн частью для аутентификации практически один в один как у Yubikey. На сегодняшный день продукт UmiKey уже не существует, как и не существует что либо подобного Yubikey и поэтому можно сделать вывод что это была Инсайдерская Утечка Данных из компании Юбико, либо утечка данных от одного из Партнеров.

Уже позже в 2010 Юбико выпускает Утилиту Которая позволяет менять все внутренние параметры устройства включая его Секретный Ключ. Затем они выпустили ключ который имел 2 конфигурации для генерации Одноразвых Кодов - этим они хотели оставить возможность пользователя использовать устройство для Аутентификации у себя на сервере (в публичных сервисах) а также в тех случаях где требуется Офлайн проверка Одноразовых Кодов (в закрытых индустриальных инфраструктурах, дома для truecrypt).

Далее идут попытки сделать из Yubikey - некий универсальный ключ для аутентификации везде где можно и компания усложняет Функционал ключа:  добавляет возможность генерации HOTP кодов (для поддержки Gmail), функционал "запрос-ответ" (поддержка Linux PAM) и теперь на конфигурацию ключа можно установить Пароль. Но даже такое наличие опции им не помогло - Большой Бизнес их не принимал в серьез. Никто им не доверял.

Но Юбикей не теряет надежды и все пытается договриться c Google: какой ключ их устроит ? Что надо сделать чтобы Google в них поверил? Видимо ответ был в духе: Это должна быть вещь которую разработает сообщество и которая будет свободна от Копирайта и Патентов. Юбико согласилась и в в 2011-12 Якоб Эренсверд (изобретатель юбикея) поехал в США чтобы вместе с Google и другими специалистами принять участие в проекте под названием "Ключ защиты".
Позже в 2016 компания google разрешила своим инженерам опубликовать материалы этого исследования в работе : «Ключи Защиты: Практическая криптография как второй фактор»  Якоб Эренсверд в этой работе упомянут в разделе: люди внесшие вклад в развитие проекта. В 2013 проект "Ключ защиты" был передан под контроль консорциума FIDO для того чтобы решить проблему аутентификации на глобальном уровне, так появился стандарт U2F.

В 2015 Юбико начинает публиковать Уязвимости найденые в своих продуктах. До этого дело ограничивалось дисскуссиями в форуме на сайте компании. На следующий год Якоб Эренсверд заявляет, что публиковать исходный код реализации U2F в своих ключах они не будут. Вообще вокруг реализации U2F есть некая тайна, поскольку FIDO не указывает детально каким должне быть криптографический протокол U2F , передавая это право Производителю. А они в свою очередь ничего не  публикуют ссылаясь на то что все описано в Стандарте U2F. На мой взгляд U2F Устройствам можно доверять только если их Производитель согласиться комуто показать свою реализацию (Да возможно Гос. Контроль). Интернет-же полон описаний U2F с сайта Yubico.com где важные крипто-вопросы упущены из виду.

С 2014 Юбико фокусируется на U2F и начинает выпуск недорогих ключей защиты по 18 usd. Похоже дело у Юбико наконец сдвинулось в места, в 2017 они получили инвестиции в размере $30млн (США, Швеция).

А в 2018 компания Юбико меня разочаровала тем что в первых незаметно сдвинула дату своего создания кудато в далекое прошлое и при этом еще умудрилась Россию задеть. Что это ?  - Амбиции скандинавской интеллигенции или плод фантазии маркетолога? Похоже все вместе взятое.

Ссылки:
YubiSecure? Formal Security Analysis Results for the Yubikey and YubiHSM
http://www.lsv.fr/Publis/PAPERS/PDF/KS-stm12.pdf