Säkerhetsevaluering av YubiKey
2008-05-24
Simon Josefsson har genomfört en säkerhetsevaluering av den hårdvarubaserade single sign-on (SSO) produkten YubiKey från företaget Yubico. Grundare och VD på företaget är Stina Ehrensvärd som nyligen blev utsedd till en av sveriges hetaste entreprenörer för tredje året i rad av tidningen InternetWorld.
Så här skriver Simon i rapporten:
Vi beskriver Yubico YubiKey användarverifiering samt enheten och det protokoll som den använder. Vi diskuterar allmänna attackvektorer samt mer specifika angrepp på systemet. Säkerheten i systemet bygger till viss del på utformningen av servern, och vi diskuterar dessa krav.
Systemet använder stark kryptering med AES. Replay-attacker hanteras. Trojan och phishing problem mildras. Tillsammans med en PIN-kod eller lösenord blir det en två-faktor autentisering. Vi anser att systemet balanserar bra säkerhet med användarvänlighet, och hoten mot systemet är få och dokumenterade.
Läs rapporten i sin helhet: http://www.yubico.com/files/YubiKey_Security_Review.pdf
Update: filen verkar vara borttagen men Google har en kopia. Se kommentar
2008-05-25 klockan 13:19
Länken till PDF:en fungerar inte för mig :/
2008-05-25 klockan 21:54
Hej Pelle, det verkar som om den är borta. Men Googles cache har en kopia.
2008-08-18 klockan 14:57
Hej! Vi har fixat länken nu, tack för feedback!