Säkerhetsevaluering av YubiKey
2008-05-24
Simon Josefsson har genomfört en säkerhetsevaluering av den hårdvarubaserade single sign-on (SSO) produkten YubiKey från företaget Yubico. Grundare och VD på företaget är Stina Ehrensvärd som nyligen blev utsedd till en av sveriges hetaste entreprenörer för tredje året i rad av tidningen InternetWorld.
Så här skriver Simon i rapporten:
Vi beskriver Yubico YubiKey användarverifiering samt enheten och det protokoll som den använder. Vi diskuterar allmänna attackvektorer samt mer specifika angrepp på systemet. Säkerheten i systemet bygger till viss del på utformningen av servern, och vi diskuterar dessa krav.
Systemet använder stark kryptering med AES. Replay-attacker hanteras. Trojan och phishing problem mildras. Tillsammans med en PIN-kod eller lösenord blir det en två-faktor autentisering. Vi anser att systemet balanserar bra säkerhet med användarvänlighet, och hoten mot systemet är få och dokumenterade.
Läs rapporten i sin helhet: http://www.yubico.com/files/YubiKey_Security_Review.pdf
Update: Filen verkar vara borttagen men Google har en kopia. Se kommentar
Update2: Filen är tillbaka.
2008-05-25 klockan 13:19
Länken till PDF:en fungerar inte för mig :/
2008-05-25 klockan 21:54
Hej Pelle, det verkar som om den är borta. Men Googles cache har en kopia.
2008-08-18 klockan 14:57
Hej! Vi har fixat länken nu, tack för feedback!
2011-07-02 klockan 18:20
[...] (har jag hört). För mer detaljer kan du läsa ikapp här, för nördar så har kryptera.se en bra säkerhetsutvärdering. Nu har jag precis fått hem enheten och tänkte utforska lite vad man kan använda den till. Ett [...]