يوبيكي
يوبيكي (YubiKey) – هو مفتاح (جهاز) أمني، ينتج من قبل شركة يوبيكو وهو يدعم بروتوكول المعامل الثاني الشامل للتحقق من الهوية، كلمات المرور لمرة واحدة والتشفير غير المتوازي. هذا يسمح للمستخدمين بالدخول الآمن إلى حساباتهم باعتماد كلمات المرور التي تمّ توليدها لمرة واحدة، أو باستخدام مزدوجات المفاتيح المفتوحة/المغلقة التي تولّد على مفتاح (جهاز) يوبيكي. ويمكن لمفتاح يوبيكي أن يخزن كلمات المرور الثابتة لاستخدامها على مواقع الإنترنت التي لا تدعم تقنيات كلمات المرور لمرة واحدة. إن الشركات مثل فيسبوك وجوجل يستخدمون يوبيكي للدخول إلى حساباتهم سواء كانوا موظفين في تلك الشركات أو مشتركين بالخدمات. كما أن بعض برامج إدارة كلمات المرور يدعمون مفاتيح يوبيكي أيضاً. ضمن الخيارات المتاحة في مجموعة مفاتيح يوبيكي هنالك المفتاح الأمني – وهو جهاز مشابه لمفاتيح يوبيكي، لكن صُمم لاستخدامه مع المفاتيح المعلنة القياسية حسب FIDO U2F و FIDO2.
تستخدم مفاتيح يوبيكي خوارزميات HOTP وTOTP عبر محاكاة لوحة مفاتيح قياسية باعتماد بروتوكول USB HID. أما مفاتيح يوبيكي نيو ويوبيكي 4 فهم يدعمون بروتوكولات مثل OpenPGP، البطاقة-الذكية مع استخدام نظام تشفير RSA الإهليلجي بعمق 2048-بت (p256, p384)، FIDO U2F ونظام الاتصال القريب (NFC). تسمح مفاتيح يوبيكي للمستخدمين بالتوقيع، التشفير وفكّ التشفير المراسلات دون إرسال المفاتيح الخاصة لأطراف أخرى سواء مستخدمين أو برامج. تم اطلاق الجيل الرابع من مفاتيح يوبيكي في 16 تشرين الثاني 2015 التي تدعم OpenPGP مع مفاتيح RSA بعمق 4096-بت و PKCS#11 للبطاقات الذكية المتوافقة مع وظائف PIV التي تسمح بتوقيع الترميز الأصل للبرامج من نماذج دوكر (Docker).
أسست ستينا ارنيستفيرد (المدير العام) شركة يوبيكو في عام 2007، هي شركة خاصة لها مكاتبها في بالو-آلتو، سياتل وستوكهولم. المهندس الرئيسي لشركة يوبيكو هو جايكوب ارنيسفيرد – المصمم الرئيس للخواص والمواصفات لنظام التحقق من الهوية الآمن التي صارت تعرف بعامل الثاني العام للتحقق من الهوية (U2F)
التاريخ
تأسست شركة يوبيكو في عام 2007 وبدأت نشاطها بطرح منصة تجريبية (Pilot Box) للمطورين في تشرين الثاني من العام نفسه. تم تقديم المنتج الأصلي يوبيكي خلال المؤتمر السنوي لـ RSA في نيسان 2008، وقد بدأ إنتاج النموذج الأكثر وثوقية يوبيكي II في عام 2009.
لدى نموذج يوبيكي II والنماذج الأخرى اللاحقة منفذان للبيانات، حيث يمكن تخزين إعدادين مختلفين مع سرّين AES وتجهيزين مختلفين. خلال التحقق من الهوية، يستخدم المنفذ الأول عبر لمس الزر في مفتاح يوبيكي، بينما يتم استخدام المنفذ الثاني عبر لمس الزر لمدة 2-5 ثوان.
في عام 2010، باشرت شركة يوبيكو بعرض مفاتيح يوبيكي OATH ويوبيكي تحديد الهوية بموجات الراديو. وقد تمت إضافة إمكانية توليد كلمات مرور لمرة واحدة من ستة وثمانية حروف إلى مفاتيح يوبيكي OATH باستخدام بروتوكولات من OATH، وإضافة لكلمات المرور المؤلفة من 32 محرف المستخدمين في طريقة يوبيكو لكلمات المرور لمرة ة واحدة (OTP) الخاصة. تضمن نموذج يوبيكي RFID وظائف OATH مع إضافة ميزة RFID MIFARE الكلاسيكية مع دارة مصغّرة بحجم 1ك. ولكن كان هذا المفتاح كان جهازاً مختلفاً حيث لم يكن بالإمكان القيام بإعداده باستخدام البرامج الداخلية من يوبيكو.
في شهر شباط عام 2012، طرحت يوبيكو مفتاح يوبيكي نانو – نسخة مصغّرة عن المفتاح القياسي، التي تمت صناعتها ليتسع المفتاح بالكامل في المأخذ التسلسلي (USB) مع بروز صغير جداً للمس الزر وتفعيل المفتاح عند الحاجة. وقد تم إطلاق غالبية النماذج اللاحقة بالقياسين: المصغّر والقياسي.
وقد تميز عام 2012 أيضا بعرض نموذج يوبيكي الجديد يوبيكي نيو (YubiKey NEO)، الذي كان نتيجة لتطوير الأفكار المطبقة في مفتاح يوبيكي RFID مع دمج دعم تقنيه (NFC) الاتصال بالمجال القريب) جنبا إلى جنب مع شكل جهاز USB. إن مفتاح يوبيكي نيو (YubiKey NEO) (وكذلك نيو – ن، النسخة المصغّرة) لديهم القدرة على إرسال كلمة مرور لمرة واحدة إلى الأجهزة القارئة كجزء من الوصلات (URLs) التي يمكن إعدادها عبر الرسائل بنسق تبادل البيانات عبر الاتصال في مجال قريب (NFC Data Exchange Format (NDEF)) بالإضافة إلى محاكاة لوحة مفاتيح من نمط USB HID. يدعم مفتاح نيو (NEO) الاتصال باستخدام بروتوكول CCID، حيث أن نظام CCID يستخدم للتعامل مع البطاقات الذكية المتوافقة مع PIV ودعم نظام OpenPGP، بينما يستخدم نمط USB HID للمصادقة حسب طريقة كلمات المرور لمرة واحدة. في عام 2014، تمّ تحديث مفاتيح يوبيكي نيو لدعم المعامل الثاني الشامل للتحقق من الهوية (FIDO U2F). وبعد بقليل في نفس السنة، أطلقت شركة يوبيكو المفتاح الأمني FIDO U2F الذي دعم تقنية U2F، ولكن دون دعم لبقية التقنيات والبروتوكولات مثلا كلمة المرور لمرة واحدة، الكلمات الثابتة، البطاقة الذكية أو الاتصال في المجال القريب (NFC) وهذه التقنيات موجودة في مفاتيح يوبيكي السابقة. ولكن عند المبيع، فقد تم بيع هذه المفاتيح بسعر (18$) وهو أقل سعراً من مفاتيح يوبيكي القياسية (25$ و 40$ لموديل نانو) وليوبيكي نيو (50$ و60$ لموديل NEO-n).
في شهر نيسان من عام 2015، بدأت شركة يوبيكو باإنتاج مفتاح يوبيكي ايدج (YubiKey Edge) بمقاسين – حجم المفتاح القياسي والحجم المصغّر – «نانو». وقد شغل هذا المفتاح الحيّز بين مفاتيح نيو (NEO) ومفاتيح من نمط FIDO U2F، باعتبار أنه قد تمّ تصميمه للعمل مع كلمات المرور لمرة واحدة ومع تقنية U2F للتحقق من الهوية في الوقت ذاته، لكن دون دعم لتقنية البطاقة الذكية أو الاتصال عن قرب (NFC).
ظهرت سلسلة يوبيكي 4 (YubiKey 4) في الأسواق في شهر تشرين الثاني عام 2015 وتضم هذه السلسلة القياسين - حجم المفتاح القياسي والحجم المصغّر – «نانو». وتدعم مفاتيح يوبيكي 4 أغلبية خصائص يوبيكي نيو والتي تسمح باستخدام مفاتيح OpenPGP بطول حتى 4096 بت (تستخدم المفاتيح السابقة 2048 بت) ولكن دون دعم نظام الاتصال عن قرب (NFC).
خلال المعرض الدولي CES 2017، عرضت شركة يوبيكي السلسة الموّسعة من مفاتيح يوبيكي 4 بتصميم مع إضافة مأخذ USB-C. ومن ثمّ، فقد تمّ إطلاق مفتاح يوبيكي 4سي (YubiKey 4C) في 13 شباط عام 2017.
في نظام تشغيل أندرويد وعن طريق وصل المفتاح إلى مأخذ USB-C يمكن استخدام وظائف كلمات المرور لمرة واحدة، ولكن استخدام بقية التقنيات والوظائف بما فيها U2F حالياً غير ممكن. وظهرت نسخة يوبيكي سي نانو في شهر إيلول 2017.
في نيسان عام 2018 قدمت شركة يوبيكي «مفتاح الأمن من يوبيكو» المبني على تقنيات FIDO2-WebAuthn التي تمّ تطبيقها للمرة الأولى (المفتاح الذي حصل على توصية من W3C في شهر مارس) وبروتكول «الزبون إلى المصادق» (Client To Authenticator Protocol – CTAP وهو تحت التطوير حسب شهر حزيران 2018). يمكن الحصول على الجهاز بالقياس العادي (قياس المفتاح المنزلي) مع مأخذ USB-A. مثل النموذج السابق «لمفتاح الأمن» FIDO U2F، جسم المفتاح ذو لون أزرق ويحوي زراً عليه علامة مفتاح. والسمة الخاصة هي رقم 2 المحفور على الهيكل البلاستيكي بين الزر وفتحة التعليق مع مفاتيح أخرى. يعتبر هذا النموذج مفتاحاً غير مكلفاً مقارنةً مع النماذج يوبيكي نيو ويوبيكي 4 ويبلغ ثمنه 20$ للمفتاح الواحد في الأسواق. إن المفاتيح من هذا النموذج لا تدعم تقنية توليد كلمات المرور لمرة واحدة ووظائف البطاقة الذكية مثل النماذج الأعلى سعراً، ولكنها تدعم تقنية FIDO U2F.
بتاريخ 23 أيلول عام 2018، تم طرح الجيل الخامس من المفاتيح – يوبيكي 5 التي تختلف هذه السلسلة عن سابقاتها بدعمها لبروتوكولات FIDO2 / WebAuthn مع إمكانية التحقق من الهوية دون كلمة مرور، ونموذج الذي يدعم تقنية الاتصال القريب (NFC) – يوبيكي 5 (NFC) الذي استبدل نموذج يوبيكي نيو. تتألف سلسلة يوبيكي 5 من أربعة مفاتيح بدعم متماثل لبروتوكولات التشفير، لكنهم يختلفون في مقاساتهم وأشكالهم: يوبيكي 5 NFC (USB-A، NFC)، يوبيكي 5 نانو (USB-A)، يوبيكي 5 سي (USB-C) ويوبيكي 5 سي نانو (USB-C).
النظام الستة عشري (ModHex)
عند استخدام كلمات المرور لمرة واحدة أو الثابتة منها، يقوم مفتاح يوبيكي بتوليد رموز باستخدام الأبجدية الستة-عشرية المعدلة التي مبنية على ان لا تكون تابعة لإعدادات نظام التشغيل للوحة المفاتيح. هذه الأبجدية التي تسمى ModHex أو Modified Hexadecimal تتألف من الرموز "cbdefghijklnrtuv" التي تقابل الأرقام الستة-عشرية "0123456789abcdef". وبسبب أن مفاتيح يوبيكي يعملون كجهاز USB HID ويستخدمون رموز-المسح، يمكن أن تنشأ بعض المشاكل عند استخدام المفاتيح على الحواسب التي تعتمد نظام لوحة مفاتيح مختلف مثل لوحة مفاتيح من نوع Dvorak. وعند استخدام كلمات المرور لمرة واحدة يفضل تعديل إعدادات النظام إلى ترتيب لوحة المفاتيح إلى النمط القياسي "US" أو ما يقابله. ومع ذلك، فإن مفاتيح يوبيكي نيو والنماذج الأكثر حداثة، يمكن إعدادهم للعمل مع رموز-مسح للوحة المفاتيح لمطابقتها مع ترتيب لوحة المفاتيح المستخدمة بغض النظر عن حالة ModHex.
بمساعدة مفاتيح يوبيكي والمفتاح الأمني من يوبيكو، يلتف التحقق من الهوية U2F على هذه المشكلة باستخدام البروتوكول البديل U2F HID الذي يرسل ويستقبل البيانات الثنائية دون استخدام رموز-المسح للوحة المفاتيح. وفي وضع CCID يعمل كقارئ للبطاقات الذكية ولا يستخدم بروتوكول HID مطلقاً.
الاعتبارات الأمنية لمفاتيح يوبيكي
قامت شركة يوبيكو بإستبدال الترميز المصدر (Source code) للمكونات مفتوحة المصدر (Open source) إلى مكونات مشابهة لكنها مغلقة (Closed source) والتي لايمكن الوصول إليها لمحاولة إيجاد ثغرات أمنية بها من قبل جهات أخرى. وتصرح شركة يوبيكو أنه قد تمّ التحقق التام من الترميز المصدر داخلياً وخارجياً.
مفاتيح يوبيكي نيو، كما في السابق يعتمدون على برامج ذات مصدر مفتوح. بتاريخ 16 أيار عام 2016، قام المهندس الرئيس في يوبيكو - جايكوب ارنستفيرد – وخلال ما نشر له في مدونة بالإجابة على على مخاوف مجموعة مبرمجي المصادر المفتوحة وصرّح بأن شركة يوبيكو جاهزة لدعم المصدر المفتوح للترميز، وشرح أسباب ومميزات التحديثات التي تمّ تطبيقها في يوبيكي 4.
في شهر تشرين الأول عام 2017 وجد الباحثون ثغرة أمنية (معروفة باسم ROCA) في مكتبة التشفير التي توّلد مفاتيح التشفير المزدوجة RSA، التي تستخدمها مجموعة كبيرة من الدارات الالكترونية الأمنية من شركة Infineon. تسمح الثغرة الأمنية بإعادة بناء المفتاح المغلق (الخاص) باستخدام المفتاح العام (المفتوح). جميع المفاتيح يوبيكي 4، يوبيكي 4 سي، يوبيكي 4 نانو ذوي الإصدار رقم 4.2.6 حتى 4.3.4 قد تعرضوا لهذه الثغرة الأمنية. وقد طرحت شركة يوبيكو فوراً برامج خاصة للتحقق من وجود الثغرة الأمنية وتم تبديل كافة المفاتيح ذات الثغرة بمفاتيح أمنية جديدة غيرها مجاناً.
فيدو2 (FIDO2) تحقق من الهوية دون كلمة مرور
فيدو2 (FIDO2) هو المعيار المطوّر للمعامل الثاني الشامل للتحقق من الهوية (FIDO U2F) والذي تمّ تطويره من قبل شركتي يوبيكو وجوجل. فبينما يعتمد بروتوكول U2F على اسم المستخدم وكلمة المرور، يملك FIDO2 خيارات أوسع للاستخدام بما فيها التحقق من الهوية دون كلمة مرور. عملت يوبيكو مع شركة مايكروسوفت جنباً إلى جنب لإنشاء المواصفات التقنية ويعتبر«المفتاح الأمني» من يوبيكو أول جهاز يدعم FIDO2 يطرح في الأسواق. وفي أيلول عام 2018 تمت إضافة FIDO2 / WebAuthn إلى المفاتيح الأمنية من سلسلة يوبيكي 5.
قائمة ببعض البرامج والخدمات التي تدعم مفاتيح يوبيكي
- Bitwarden
- Bitbucket
- Compose
- Dashlane
- Digidentity/GOV.UK Verify
- Dropbox
- Fastmail
- GitLab
- GitHub
- كراكن
- LastPass
- ماك أوس
- Mailbox.org
- Micro Focus
- Nextcloud
- Okta
- Password Safe
- Posteo
- Salesforce
- Sentry
- Stripe
- Thexyz
- Vanguard
- Pluggable Authentication Modules (PAM)
- مايكروسوفت ويندوز إصدار 7 وما بعده. خوادم مايكروسوفت ويندوز 2008 آر2 ومابعدها.
- KeePass
- KeePassXC
- Versasec vSEC:CMS
انظر أيضاً
مراجع
وصلات خارجية
- بوابة أمن المعلومات
- بوابة إنترنت
- بوابة الولايات المتحدة
- بوابة علم الحاسوب