Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 32 reacties
Submitter: Rafe

Yubico werkt aan YubiKey-sticks op basis van bluetooth. De sticks combineren de Universal 2nd Factor- of U2F-standaard van de FIDO Alliance met bluetooth low energy, zodat ze bijvoorbeeld gebruikt kunnen worden in combinatie met mobiele apparaten.

Yubico meldt de interoperabiliteitstests voor FIDO U2F BLE doorlopen te hebben en inmiddels over een BLE-certificaat te beschikken. In de komende tijd wil het bedrijf testversies van YubiKey BLE vrijgeven. YubiKeys moeten nu nog in een usb-sleuf gestoken worden voor de authenticatie. Ze werken op basis van de FIDO U2F-standaard voor tweetrapsauthenticatie, die in 2014 gereed was en een jaar later ondersteuning voor bluetooth kreeg. Yubico was een van de drijvende krachten achter die specificatie.

Met YubiKey BLE kunnen de sticks in de buurt van een apparaat met bluetooth-ondersteuning gehouden worden voor contactloze authenticatie. Er zijn nog wel wat hobbels te overwinnen en zaken om rekening mee te houden, volgens Yubico. Zo heeft bluetooth een bereik tot dertig meter en benadrukt het bedrijf dat je bij een beveiligingsproduct zeker wil weten dat je met het juiste systeem aan het pairen bent.

Daarnaast werkt YubiKey met bluetooth le, maar zijn er nog veel apparaten op de markt die alleen oudere versies van bluetooth ondersteunen. Verder wijst het bedrijf erop dat een batterij noodzakelijk is om de sticks met bluetooth te laten werken, wat gevolgen heeft voor het ontwerp, de veiligheid en de regelgeving. Ook is het volgens Yubico complex om te voldoen aan de regels voor het gebruik van radiofrequenties in tal van geografische gebieden.

FIDO, oftewel Fast Identity Online, is in 2012 opgericht om tot een open, interoperabele en schaalbare reeks mechanismen te komen die moeten leiden tot vervanging van wachtwoorden voor onlineauthenticatie. De standaard werkt op basis van publiekesleutelcryptografie in combinatie met authenticatiemethoden als stemherkenning, vingerafdruk, chip of gezichtsherkenning. Onder andere Google, Dropbox en GitHub bieden ondersteuning voor inloggen met FIDO U2F.

YubiKey

Moderatie-faq Wijzig weergave

Reacties (32)

Voor de mensen die waarde hechten aan open source en het nieuws gemist hebben: de YubiKey 4 gaat niet meer open source zijn.
je steld het een beetje zwart wit. Er zijn duidelijke redenen voor deze keuze.

If you have to pick only one, is it more important to have the source code available for review or to have a product that includes serious countermeasures for attacks against the integrity of your keys?

Although you may feel good about having reviewed the source and loaded the firmware yourself, do you trust and feel comfortable that the very same interface you used for that loading procedure is not a backdoor for extracting the key? Is the bootloader there trustworthy? The memory fuse? The JTAG lock-out feature? Are these properly documented and scrutinized?

One has to recognize the hard problem of trust. Considering a utopian scenario with an open-and-fully-transparent-and-proven-secure-ip-less chip, given the complexity and astronomical costs of chip development, who would make it? And if it was available, how would they then provide the proof, making it more trustworthy than anything else already available?

Is it more rational to put a large amount of trust in a large monolith like a Java Card OS, while at the same time being highly suspicious of a considerably smaller piece of custom code? This assumes that both have been subject to third-party review in a similar fashion.
If you have to pick only one, is it more important to have the source code available for review or to have a product that includes serious countermeasures for attacks against the integrity of your keys?
Door het zo te stellen verlies ik onmiddellijk het vertrouwen want het is een valse tegenstelling. Ze impliceren dat het niet mogelijk is om een veilig product te maken dat ook open source is. In de security-community is het devies al jarenlang dat geheimhouding nooit werkt, op termijn lekken alle geheimen uit.
Although you may feel good about having reviewed the source and loaded the firmware yourself, do you trust and feel comfortable that the very same interface you used for that loading procedure is not a backdoor for extracting the key? Is the bootloader there trustworthy? The memory fuse? The JTAG lock-out feature? Are these properly documented and scrutinized?
Weet ik dat wel als het closed source is? Nee, dan heb ik precies dezelfde problemen.
One has to recognize the hard problem of trust. Considering a utopian scenario with an open-and-fully-transparent-and-proven-secure-ip-less chip, given the complexity and astronomical costs of chip development, who would make it?
Dat kun je ook zeggen over Linux of Apache en daar is het ook gelukt, het is dus geen fundamenteel probleem dat onmogelijk kan worden opgelost.
And if it was available, how would they then provide the proof, making it more trustworthy than anything else already available?
Wéér een vals argument. Hoe moet je bewijzen dat een close source product meer betrouwbaar is dan andere producten? Als ik geen enkele controleerbare informatie over de werking heb, waarom zou ik het dan vertrouwen?
Is it more rational to put a large amount of trust in a large monolith like a Java Card OS, while at the same time being highly suspicious of a considerably smaller piece of custom code? This assumes that both have been subject to third-party review in a similar fashion.
Nog meer van hetzelfde. Ik vertrouw Java Card OS ook niet en ik geloof niet dat anderen die kritiek hebben op Yubi wel vrede hebben met JCOP. Ik vind het allemaal geen sterke argumenten.

Daarmee is niet gezegd dat ik Yubi niet vertrouw of dat ik een systeem ken dat op alle punten beter is, maar deze argumentatie voor closed source is maar zwak.
  • Door het zo te stellen verlies ik onmiddellijk het vertrouwen want het is een valse tegenstelling. Ze impliceren dat het niet mogelijk is om een veilig product te maken dat ook open source is. In de security-community is het devies al jarenlang dat geheimhouding nooit werkt, op termijn lekken alle geheimen uit.
noem eens een opensource hardware platform wat ze kunnen gebruiken?
  • Dat kun je ook zeggen over Linux of Apache en daar is het ook gelukt, het is dus geen fundamenteel probleem dat onmogelijk kan worden opgelost.
niet realistisch om 1 vendor te vergelijken met een grote organisatie als linux of apache.

OpenSource is niet altijd realistisch en zoals het artikel ook schrijft niet altijd haalbaar ivm volume/afname
Voor dit soort zaken heb je nou crowdfunding. Leg goed uit welke kosten je gaat maken, waarom het nodig is dit te crowdfunden en toon aan dat je een werkend prototype hebt. Kickstarter kan je al over de ¤ 10M helpen. Daar kun je best wat chips voor maken als je een goed afgebakend doel hebt. Open source wil ook niet zeggen dat andere bedrijven jouw chips commercieel mogen namaken, je kunt het design bijvoorbeeld vrijgeven onder een GPLv3 voor onderzoek en gebruik binnen GPLv3 projecten, maar stipuleren dat voor commercieële toepassingen een betaalde licentie afgenomen dient te worden.

Voor mijn gevoel moet dat intern besproken zijn en is er vervolgens een welbewuste keuze voor closed in plaats van open source gemaakt. Mogelijk is men bang dat aanvallers gevonden beveiligingsgaten voor zichzelf houden en er onvoldoende hoogwaardige reviews komen van het grote publiek. Security audits kunnen natuurlijk ook achter gesloten deuren plaatsvinden, dat kan ook prima bij closed source. Het zou ze netjes staan de closed source onafhankelijk door een gevestigde naam te laten reviewen en het rapport daarvan te publiceren. Zoiets kan mogelijk weer wat vertrouwen terugwinnen.
Daarom zijn er ook mensen zoals het duitse Nitrokey
Met hun usb key's. ze werken (helaas) nog niet met NFC of bluetooth. maar zijn wel volledig Opensource (en openhardware)
Snelle google levert op dat er gewoon een standaard Atmel MCU op zit, waarbij als ik het goed lees de enige beveiliging momenteel tegen een jtag reflash is dat de jtag pinnen in de nieuwere versies van het PCB zijn gehaald. Maar sowieso heb ik mijn twijfels of die Atmel MCU open source zou zijn. Dus het enige openhardware gedeelte is het PCB'tje. (En plasticje eromheen neem ik aan).

Overigens nu dat ze die JTAG er weer af hebben gehaald zodat je hem niet zomaar kan reflashen en hun security bits veilig hebben gezet (stonden volgens audit document verkeerd), kan je ook weer niet verifieren welke firmware uberhaupt op die MCU staat.
Er zijn nog wel wat hobbels te overwinnen en zaken om rekening mee te houden, volgens Yubico. Zo heeft bluetooth een bereik tot dertig meter en benadrukt het bedrijf dat je bij een beveiligingsproduct zeker wil weten dat je met het juiste systeem aan het pairen bent.
En Bluetooth moet aan staan, wat (zelfs met LE) meer batterij zal verbruiken dan zonder. Zelfs als het niet significant is, dan nog hoort men "Bluetooth = meer energieverbruik" en zal het uitschakelen, m.u.v. de gebruikers die het altijd aan hebben staan vanwege dat zij een carkit gebruiken en ze het verder niet interesseren.

In het kort: Bluetooth staat vaak of permanent aan, of permanent uit op een telefoon, omdat gebruikers geen zin hebben om te schakelen. De groep waarbij het altijd uit staat gaat veel problemen opleveren.

Als er toch al Bluetooth ondersteund wordt, waarom dan niet ook NFC? Is natuurlijk niet bruikbaar voor elke telefoon, maar voor die waarmee het wel kan is het iets dat nog minder stroom nodig heeft.

[edit]
Sommige reageerders begrijpen het punt niet. Ondersteun NFC in combinatie met Bluetooth op dit apparaat. NFC is nuttig voor degenen die het hebben op hun smartphone. Voor degenen die het missen is er dan altijd nog Bluetooth.

[Reactie gewijzigd door The Zep Man op 16 juni 2016 13:17]

Als er toch al Bluetooth ondersteund wordt, waarom dan niet ook NFC? Is natuurlijk niet bruikbaar voor elke telefoon, maar voor die waarmee het wel kan is het iets dat nog minder stroom nodig heeft.
Dat is de Yubikey NEO.
https://www.yubico.com/pr...key-hardware/yubikey-neo/
Wat betreft het verbruik, de Yubikey heeft een knop als je die indrukt zal deze pas aan moeten gaan.

[Reactie gewijzigd door hendrickbert op 16 juni 2016 13:08]

Wat betreft het verbruik, de Yubikey heeft een knop als je die indrukt zal deze pas aan moeten gaan.
Het gaat om het gebruik van de smartphone., hoewel de YubiKey ook af en toe opgeladen zal moeten worden. Dus nog een reden waarom authenticatie mogelijk niet werkt:
-Accu smartphone is leeg.
-Accu extra authenticatiemiddel is leeg.
ben ik ook een groter voorstander van, niet alleen verbruikt het minder stroom, ook is het bereik van NFC velen malen beperkter waardoor het pairen dus hijacken van een keychallenge veel lastiger is.

het nadeel van nfc is / lijkt dan weer, dat heel erg veel devices het verkeerd gebruiken waardoor het aanzetten / ondersteunen van nfc soms zaken als skimming etc weer in de hand werkt.

dat maakt gebruik van yubikeys voor je mobiel ed naar mijn idee toch minder nuttig dan een gewone fingerprint-scanner in comibinatie met een pin of wachtwoord.
Er is er al 1 met NFC voor zover ik weet. De Yubikey Neo.
Omdat NFC op bijna geen enkele smartphone werkt. Het werkt op geen enkele tablet. En op de smartphones waarop het wel werkt, is het op gesloten of het werkt niet goed. Er is al een YubiKey met NFC, de Neo.

USB is ook niet echt een alternatief. Dan zit je met kabels en USB OTG te kloten. Bovendien moet de USB key genoeg stroom krijgen.

Bij mij staat Bluetooth al standaard aan ivm smartwatch dus voor mij interesseert het niet.

Overigens is het oppassen geblazen met YubiKey. Ze zijn relatief duur terwijl er tegenwoordig ook goedkopere alternatieven bestaan (inclusief bijvoorbeeld een Duits initiatief terwijl YubiCo Amerikaans is), en de laatste YubiKey was niet meer open source.
Welke bedrijven komen met alternatieven voor de YubiKey?
Wat je onder alternatief verstaat hangt sterk af van welke features je belangrijk vindt en welke niet. De YubiKeys zelf verschillen ook flink onderling. Op de korte duur kom je uiteindelijk toch 2 keys te kopen (1 backup) en wil je waarschijnlijk meerdere slots kunnen gebruiken. Maar behalve dat wil je toch goed nadenken over welke features jij belangrijk vindt voor jouw organisatie of voor jou als individu.

Vaak kun je 2FA bijvoorbeeld al aanzetten via SMS. Heb je dan een smartwatch dan kun je die SMS op je smartwatch lezen. Dat werkt behoorlijk gebruikersvriendelijk kan ik je vertellen, maar het nadeel is dat het makkelijk af te luisteren is (door overheden, de dienst zelf, criminelen, en de smartwatch zelf leaked ook data). Je bezit ook zelf niet de key. Toch is het beter dan niets. Ik denk dat U2F het meest interessante is op de lange duur want het is een standaard, die groot wordt, en goedkoop is (dan hebben we het over prijzen van tussen de 6 en 20 EUR). De standaard wordt ook al door Chrome en Firefox ondersteunt!

Concreet, NitroKey is de meest bekende concurrent en is volledig open source (software en hardware). Andere projecten die ik heb gezien stonden op websites als Kickstarter en Indiegogo. Zie hier een discussie over allerlei alternatieven.
Yubico heeft ook sticks met NFC en MIFARE
dus waarom zou je dan nog bluetooth willen?
Men wil een HSM achtige oplossing in de telefoon proppen. Die markt wordt op dit moment gedomineerd door bijv nfc (met nxp chips) en de simkaart fabrikanten (bijv de producenten van javacards). Hier heb je echter geen low-level toegang tot en de api's zijn niet universeel of bruikbaar genoeg voor volwaardige second factor oplossingen zonder rare trucjes met otps.

Als ze slim zijn (en voor echte security willen gaan) gooien ze u2f overboord voor de second factor method en doen ze en volwaardige hsm-to-hsm oplossing, maar ik betwijfel of ze die gecertificeerd kunnen krijgen.

Bijkomend voordeel: Apple komt ineens binnen berijk want je hebt geen toegang tot de nfc of de sim kaart op die apparaten (ja, je kan er bij maar niet genoeg om bij de keys te kunnen).

[Reactie gewijzigd door Sloerie op 16 juni 2016 13:18]

Om de gehele markt te kunnen bedienen natuurlijk.
ja vanuit de leverancier snap ik het wel. Maar waarom zou je dat als klant willen?
Alle uitdagingen en risico's die je loopt met Bluetooth zijn al opgelost in NFC (met name afstand)
O.a. iOS devices hebben geen NFC. (vraag me niet waarom) en wel Bluetooh LE.
Nieuwe Vodafone simkaarten hebben Nfc, misschien dat daar nog iets mee kan.
ze hebben wel NFC (apple pay) maar Apple heeft in zn wijsheid besloten deze verder niet beschikbaar te stellen voor 3rd party apps
Openen van de API is niet voldoende, om er meer mee te kunnen dan NFC betalen is een hardware wijziging nodig.
De iPhone 6(+) en de Apple Watch (en hun opvolgers) hebben wel NFC-hardware aan boord, maar Apple heeft nog geen API's beschikbaar gesteld waarmee iOS-developers die kunnen gebruiken. Momenteel dus jammer genoeg enkel voor Apple Pay.

De ipad Air 2 en iPad mini 3 hebben ook een NFC-chip (en opvolgers waarschijnlijk ook), maar missen blijkbaar de nodige antenne.
Yubico levert een scala aan interessante producten die vaak ook nog redelijk schappelijk geprijsd zijn. Toch zie ik helaas niet veel mensen die deze producten gebruiken. Ook voor thuisgebruik kan een Yubico YubiKey interessant zijn. Ze worden met ondersteuning voor diverse protocollen geleverd en het is zelfs mogelijk om custom programmed versies te verkrijgen (helaas vanaf 500 stuks).

Voor een overzicht van de verschillende producten kun je hier terecht. Je ziet daar ook gelijk een overzicht met welke "top applications" de producten standaard werken.

[Reactie gewijzigd door Bor op 16 juni 2016 13:43]

Aanvullend is er http://www.dongleauth.info/ voor een overzicht van sites die U2F (en [H|T]OTP) ondersteunen.
Ik heb een Yubikey Neo en ik gebruik hem dagelijks. Ik gebruik hem voor LastPass en OATH, maar ik heb bijvoorbeeld ook mijn PGP sleutels erop staan. Erg handig voor het versleutelen van bestanden.

Met name in samenwerking met mijn mobiel is het erg handig.
Ik heb zelf een YubiKey4, maar maak er zelden gebruik van. Alle diensten die ik gebruik die het ondersteunen, heb ik het ook geactiveerd. Helaas zijn het niet zo veel diensten. Google, Dropbox, e.d.

Paypal heeft er nog geen ondersteuning voor, Lastpass moet er een premium abbo voor worden afgesloten. En kan er ook geen e-dentifier of Digi-D mee vervangen. Deze blijven via text message of 2nd factor code via google authenticator.

Prachtig dat de techniek er is, maar zolang de providers van diensten geen ondersteuning bieden, zal het gebruik niet veel gaan toenemen. Zo wordt ik ook gek van het feit dat er een maximum aantal karakters, of vereisten aan het aantal type karakters zitten.
de lijst is toch al behoorlijk gegroeid
lastpass misschien alleen in premium maar genoeg andere passwordmanagers ondersteunen het wel, zoals Keepass.
Ook in linux distros is er volop ondersteuning.

Welke dienst ondersteund het niet maar zou jij het wel voor willen gebruiken?
Het feit dat U2F op verschillende manieren beschikbaar komt is een goede ontwikkeling. Ik denk ook dat de keuze voor Bluetooth niet de eerste keuze zal zijn, maar wellicht zijn er situaties waar dit wel gewenst is. Denk bijvoorbeeld aan authenticatie op een bepaalde afstand, bijv een server in een ruimte iets verderop.

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True