ユビキー

この記事は一次資料への参照に過度に依存しています。二次資料または三次資料を追加して記事を改善してください。出典を探す: 「YubiKey」  - ニュース·新聞·書籍·学者· JSTOR      ( 2024年11月) (このメッセージを削除する方法とタイミングについてはこちらをご覧ください)

ユビコAB

会社の種類	アクティボラグ
取引名	ナスダック：  YUBCF
業界	ハードウェア
設立	2007 （2007年）
本部	ガブレガタン 22 113 30ストックホルム、スウェーデン 5201 Great America Pkwyサンタクララ、カリフォルニア州、米国
主要人物	Stina Ehrensvärd (創設者) Jakob Ehrensvärd ( CTO ) Mattias Danielsson (CEO)
Webサイト	ユビコ.com

YubiKeyは、スウェーデンのストックホルムとカリフォルニア州サンタクララに本社を置くYubico ABが製造するハードウェア認証デバイスのコレクションです。^{[ 1 ] [ 2 ]} Yubikeyは、コンピューター、ネットワーク、オンラインサービスへのアクセスを保護するため に使用され、ワンタイムパスワード（OTP）、公開鍵暗号化、認証、Universal 2nd Factor（U2F）、FIPS 201個人識別検証、WebAuthn、FIDO2などのさまざまな認証プロトコルをサポートしています。^{[ 3 ]} 2026年1月現在、Yubikeyデバイスには、5シリーズ、5 FIPSシリーズ、Keyシリーズ、Bioシリーズ、YubiHSM 2、YubiHSM 2 FIPSの5つのモデルがあります。^{[ 4 ]}

Yubikeyは、HMACベースのワンタイムパスワード（HOTP）と時間ベースのワンタイムパスワード（TOTP）アルゴリズムをサポートし、 USB HIDプロトコルを介してワンタイムパスワードを送信するキーボードとして機能します。一部のモデルは、メッセージとファイルの暗号化のためのOpenPGPカードとしても機能します。 ^{[ 5 ]}また、 PIVスマートカードをエミュレートするためのPKCS#11標準もサポートされています。この機能により、 Dockerイメージのコード署名や、Microsoft Active DirectoryおよびSSHの証明書ベースの認証が可能になります。^{[ 6 ]}

2007年にヤコブ・エーレンスヴァルドとスティナ・エーレンスヴァルドによって設立されたこの会社は、U2F規格を担当しています。^{[ 7 ]}

Yubico Aktiebolag ( Nasdaq Stockholm : YUBCF) はストックホルムに本社を置き、カリフォルニア州サンタクララに米国子会社を設立しています。^{[ 2 ]}

Yubicoは2007年に設立され、同年11月に開発者向けのPilot Boxの提供を開始しました。^{[ 8 ]}オリジナルのYubiKey製品は2008年4月に年次RSAカンファレンスで発表され、^{[ 9 ] [ 10 ]}より堅牢なYubiKey IIモデルは2009年に発売されました。^{[ 11 ]} Yubicoによると、「YubiKey」という名前は「your ubiquitous key（どこにでも存在する鍵）」に由来し、「y​​ubi」は日本語で「指」を意味します。^{[ 12 ]}

YubiKey II以降のモデルには2つの「スロット」があり、それぞれ異なるAESシークレットやその他の設定を含む2つの異なる構成を保存できます。認証時には、デバイスのボタンを短く押すだけで最初のスロットが使用され、ボタンを2～5秒間押し続けると2つ目のスロットが使用されます。

2010年、YubicoはYubiKey OATHとYubiKey RFIDモデルの提供を開始しました。YubiKey OATHは、Yubico独自のOTPスキームで使用される32文字のパスワードに加えて、6文字と8文字のOATHパスワードを生成する機能を追加しました。YubiKey RFIDモデルにはOATH機能に加え、MIFARE Classic 1k無線周波数識別チップが搭載されていましたが^{[ 13 ]} 、これはパッケージ内の別デバイスであり、USB接続を介して通常のYubicoソフトウェアで設定することはできませんでした^{[ 14 ] 。}

Yubicoは2012年2月にYubiKey Nanoを発表しました。これは標準YubiKeyの小型版で、USBポート内にほぼ完全に収まり、ボタン用の小さなタッチパッドのみが露出するように設計されています。^{[ 15 ]} YubiKeyのその後のモデルのほとんどは、標準サイズと「ナノ」サイズの両方で提供されています。2012年には、近距離無線通信（NFC）を統合することで従来のYubiKey RFID製品を改良したYubiKey Neoも発表されました。 ^{[ 16 ]} YubiKey Neo（および「ナノ」バージョンのNeo-n）は、NFCメッセージに含まれる設定可能なURLの一部として、ワンタイムパスワードをNFCリーダーに送信することができました。Neoは、 USB HID（ヒューマン・インターフェース・デバイス）キーボード・エミュレーションに加えて、CCIDスマートカード・プロトコルを使用した通信も可能です。CCIDモードはPIVスマートカードとOpenPGPのサポートに使用され、USB HIDはワンタイムパスワード認証スキームに使用されます。^{[ 17 ]}

2014年、YubiKey NeoはFIDO U2Fをサポートするようにアップデートされました。^{[ 18 ]}同年後半、YubicoはFIDO U2Fセキュリティキーをリリースしました。このキーにはU2Fサポートが明確に含まれていましたが、以前のYubiKeyにあったワンタイムパスワード、静的パスワード、スマートカード、NFC機能は含まれていませんでした。^{[ 19 ]}発売当初は、YubiKey Standardの25ドル（Nano版は40ドル）、YubiKey Neoの50ドル（Neo-n版は60ドル）と比べて、わずか18ドルという低価格で販売されました。^{[ 20 ]} FIDO/U2F開発中にGoogleが発行したプレリリースデバイスの中には、「Yubico WinUSB Gnubby（gnubby1）」という名称のものもありました。^{[ 21 ]}

2015年4月、同社はYubiKey Edgeを標準およびナノフォームファクタで発売しました。これは機能的にはNeoとFIDO U2F製品の中間に位置し、OTPおよびU2F認証に対応していましたが、スマートカードやNFCはサポートしていませんでした。^{[ 22 ]} YubiKey 4ファミリーのデバイスは2015年11月に初めて発売され、USB-Aモデルは標準サイズとナノサイズの両方で提供されました。YubiKey 4には、OpenPGPのキーサイズを4096ビット（従来の2048ビット）に増加させるなど、YubiKey Neoのほとんどの機能が搭載されていますが、NeoのNFC機能は削除されています。

CES 2017で、YubicoはYubiKey 4シリーズの拡張を発表し、新しいUSB-C設計をサポートしました。YubiKey 4Cは2017年2月13日に発売されました。^{[ 23 ]} Android OSのUSB-C接続では、Android OSとYubiKeyはワンタイムパスワード機能のみをサポートしており、Universal 2nd Factor（U2F）など他の機能は現在サポートされていません。^{[ 24 ]} 4C Nanoバージョンは2017年9月に発売されました。^{[ 25 ]} 同社は2018年4月、新しいFIDO2認証プロトコル、WebAuthn （3月にW3C勧告候補のステータスに到達^{[ 26 ]}）、Client to Authenticator Protocol（CTAP）を実装した初のデバイス、Security Key by Yubicoを発表しました。発売時には、USB-Aコネクタを備えた「標準」フォームファクタのみで提供されます。従来のFIDO U2Fセキュリティキーと同様に、青色で、ボタンには鍵のアイコンが付いています。ボタンとキーリングの穴の間のプラスチックに「2」の数字が刻印されているのが特徴的です。また、YubiKey NeoやYubiKey 4よりも安価で、発売時の価格は1台あたり20ドルです。これは、FIDO U2F機能は維持されているものの、従来のデバイスにあったOTPとスマートカード機能がないためです。^{[ 27 ]}

このセクションは更新が必要です。理由は「Yubikey Bio が見つかりません」です。最近の出来事や新たに入手した情報を反映するために、この記事の更新にご協力ください。（2024年12月）

このセクションは、Yubikey 4 nano/edge-nの機能と生産期間に関して矛盾しているように見えます 。引用元が一致していません。詳細については、トークページをご覧ください。 （2024年12月）

YubiKey製品の主な機能と性能の一覧。^{[ 28 ]}

YubiKeyは、ワンタイムパスワードや保存された静的パスワードに使用する場合、システムのキーボード設定に可能な限り依存しないように設計された修正16進アルファベットを使用して文字を出力します。このアルファベットはModHexと呼ばれ、「cbdefghijklnrtuv」という文字で構成され、16進数では「0123456789abcdef」となります。^{[ 29 ]}

YubiKeyはUSB HIDモードで生のキーボードスキャンコードを使用するため、 Dvorakなどの異なるキーボードレイアウトが設定されているコンピューターでデバイスを使用すると問題が発生する可能性があります。異なるキーボードレイアウト間の競合を避けるためにModHexが作成されました。ほとんどのラテンアルファベットキーボードで同じ場所にある文字のみを使用しますが、それでも16文字であるため、16進数の代わりに使用できます。^{[ 30 ]}また、この問題は、ワンタイムパスワードを使用するときにオペレーティングシステムの機能を使用して一時的に標準のUSキーボードレイアウト（または同様のレイアウト）に切り替えることで解決できます。ただし、YubiKey Neo以降のデバイスは、ModHex文字セットと互換性のないレイアウトに合わせて代替スキャンコードを設定できます。^{[ 31 ]}

この問題は、キーボード入力をエミュレートする必要があるHIDモードのYubiKey製品にのみ適用されます。YubiKey製品のU2F認証は、キーボードスキャンコードの代わりに生のバイナリメッセージを送受信する代替プロトコルであるU2FHIDを使用することで、この問題を回避します。^{[ 32 ]} CCIDモードはスマートカードリーダーとして機能し、HIDプロトコルを一切使用しません。

YubiKeyで実行されるコードの大部分はクローズドソースです。YubicoはPGPやHOTPといった業界標準機能のコードをいくつか公開していますが、第4世代の製品では、これらのコードは新しいユニットに搭載されているコードとは異なることが明らかになっています。^{[ 33 ] [ 34 ]}新しいユニットは工場でファームウェアが恒久的にロックされているため、オープンソースコードをコンパイルして手動でデバイスにロードすることはできません。ユーザーは、新しいキーのコードが本物で安全であることを信頼する必要があります。

U2F、PIV 、Modhexなどの他の機能のコードは完全にクローズド ソースです。

2016年5月16日、ユビコのCTOであるヤコブ・エーレンスヴァルドは、オープンソースコミュニティの懸念に対し、ブログ記事で「私たちは製品会社として、既製のコンポーネントに基づく実装に明確に反対しており、さらに商用グレードのAVRやARMコントローラーのようなものはセキュリティ製品に使用するには不適切だと考えています」と述べました。^{[ 35 ]}

Techdirtの創設者マイク・マスニック氏はこの決定を強く批判し、「暗号化は難しい。脆弱性やバグはほぼ必ず存在する。これは最近よく指摘していることだ。しかし、それらを修正する最善の方法は、できるだけ多くの知識のある人にコードを検証してもらうことだ。しかし、クローズドソースではそれが不可能だ」と述べた。 ^{[ 36 ]}

2017年10月、セキュリティ研究者らは、多数のインフィニオン製セキュリティチップで使用されている暗号ライブラリのRSA鍵ペア生成実装に脆弱性（ ROCAと呼ばれる）を発見した。この脆弱性により、攻撃者は公開鍵を使用して秘密鍵を再構築できる。^{[ 37 ] [ 38 ]}この脆弱性の影響を受けるのは、リビジョン4.2.6から4.3.4のすべてのYubiKey 4、YubiKey 4C、およびYubiKey 4 Nanoデバイスである。^{[ 39 ]} Yubicoは、出荷されているすべてのYubiKey 4デバイスでこの問題を修正し、別の鍵生成機能に切り替えるとともに、2019年3月31日まで、影響を受ける鍵の無償交換を提供した。場合によっては、YubiKeyの外部で新しい鍵を生成してデバイスにインポートすることで、この問題を回避できる。^{[ 40 ]}

2018年1月、Yubicoは、YubiKey NEOのOTP機能におけるパスワード保護が特定の条件下でバイパスされる可能性があるという中程度の脆弱性を公開しました。この問題はファームウェアバージョン3.5.0で修正され、Yubicoは2019年4月1日まで、影響を受けたと主張するユーザーに対し、無償で交換キーを提供しました。^{[ 41 ]}

2019年6月、Yubicoはセキュリティアドバイザリを公開し、ファームウェアバージョン4.4.2および4.4.4（バージョン4.4.3は存在しない）を搭載したFIPS認定デバイスにおいて、電源投入直後にランダム性が低下することを報告しました。 ^{[ 42 ]}ランダム性が低下したセキュリティキーは、予想以上に容易に発見され、侵害される可能性があります。この問題はFIPSシリーズのみ、しかも特定のシナリオのみに影響しましたが、FIPS ECDSAの使用は「より高いリスク」にさらされていました。同社は、影響を受けたキーの無償交換を提供しました。

2024年9月、NinjaLabのセキュリティ研究者は、Infineonチップに暗号の欠陥を発見しました。この欠陥により、攻撃者がYubikeyに物理的にアクセスした場合、Yubikeyの複製が可能になる可能性がありました。このセキュリティ脆弱性は、ファームウェアアップデート5.7以前のすべてのYubikeyに永続的な影響を与えます。Yubicoは、攻撃者が鍵への物理的なアクセス、高価な機器、そして高度な暗号技術と技術知識を必要とすることを理由に、この問題の深刻度を「中程度」と評価しました。^{[ 43 ] [ 44 ] [ 45 ]}

2018年、YubicoはWIREDとArsTechnicaの新規購読者にレーザー刻印されたロゴが入ったYubiKeyを無料で配布した。^{[ 46 ]}

Yubicoは、2019年から2020年にかけての香港デモにおいて、デモ参加者に500個のYubiKeyを提供しました。同社は、この決定は、脆弱なインターネットユーザーを保護し、言論の自由を支持する人々と協力するという同社の使命に基づいていると述べています。^{[ 47 ] [ 48 ]}

• FIDOアライアンス
• ニトロキー
• OpenPGPカード

• 公式サイト