يوبيكي (YubiKey) – هومفتاح (جهاز) أمني، ينتج من قبل شركة يوبيكو وهويدعم بروتوكول المعامل الثاني الكامل للتحقق من الهوية، حدثات المرور لمرة واحدة والتشفير غير المتوازي. هذا يسمح للمستخدمين بالدخول الآمن إلى حساباتهم باعتماد حدثات المرور التي تمّ توليدها لمرة واحدة، أوباستخدام مزدوجات المفاتيح المفتوحة/المغلقة التي تولّد على مفتاح (جهاز) يوبيكي. ويمكن لمفتاح يوبيكي حتى يخزن حدثات المرور الثابتة لاستخدامها على مواقع الانترنت التي لا تدعم تقنيات حدثات المرور لمرة واحدة. إذا الشركات مثل فيسبوك وجوجل يستخدمون يوبيكي للدخول إلى حساباتهم سواء كانوا موظفين في تلك الشركات أومشهجرين بالخدمات. كما حتى بعض برامج إدارة حدثات المرور يدعمون مفاتيح يوبيكي أيضاً. ضمن الخيارات المتاحة في مجموعة مفاتيح يوبيكي هنالك المفتاح الأمني – وهوجهاز مشابه لمفاتيح يوبيكي، لكن صُمم لاستخدامه مع المفاتيح المعلنة القياسية حسب FIDO U2F وFIDO2.

تستخدم مفاتيح يوبيكي خوارزميات HOTP وTOTP عبر محاكاة لوحة مفاتيح قياسية باعتماد بروتوكول USB HID. أما مفاتيح يوبيكي نيوويوبيكي أربعة فهم يدعمون بروتوكولات مثل OpenPGP، البطاقة-الذكية مع استخدام نظام تشفير RSA الإهليلجي بعمق 2048-بت (p256, p384)، FIDO U2F ونظام الاتصال القريب (NFC). تسمح مفاتيح يوبيكي للمستخدمين بالتوقيع، التشفير وفكّ التشفير المراسلات دون إرسال المفاتيح الخاصة لأطراف أخرى سواء مستخدمين أوبرامج. تم اطلاق الجيل الرابع من مفاتيح يوبيكي في 16 تشرين الثاني 2015 التي تدعم OpenPGP مع مفاتيح RSA بعمق 4096-بت وPKCS#11 للبطاقات الذكية المتوافقة مع وظائف PIV التي تسمح بتوقيع الترميز الأصل للبرامج من نماذج دوكر (Docker).

أسست ستينا ارنيستفيرد (المدير العام) شركة يوبيكوفي عام 2007، هي شركة خاصة لها ممحررها في بالو-آلتو، سياتل وستوكهولم. المهندس الرئيسي لشركة يوبيكو هوجايكوب ارنيسفيرد – المصمم الرئيس للخواص والمواصفات لنظام التحقق من الهوية الآمن التي صارت تعهد بعامل الثاني العام للتحقق من الهوية (U2F) 

التاريخ

تأسست شركة يوبيكوفي عام 2007 وبدأت نشاطها بطرح منصة تجريبية (Pilot Box) للمطورين في تشرين الثاني من العام نفسه. تم تقديم المنتج الأصلي يوبيكي خلال المؤتمر السنوي لـ RSA في نيسان 2008، وقد بدأ إنتاج النموذج الأكثر وثوقية يوبيكي II في عام 2009.

لدى نموذج يوبيكي II والنماذج الأخرى اللاحقة منفذان للبيانات، حيث يمكن تخزين إعدادين مختلفين مع سرّين AES وتجهيزين مختلفين. خلال التحقق من الهوية، يستخدم المنفذ الأول عبر لمس الزر في مفتاح يوبيكي، بينما يتم استخدام المنفذ الثاني عبر لمس الزر لمدة 2-5 ثوان.

في عام 2010، باشرت شركة يوبيكوبعرض مفاتيح يوبيكي OATH ويوبيكي تحديد الهوية بموجات الراديو. وقد تمت إضافة إمكانية توليد حدثات مرور لمرة واحدة من ستة وثمانية حروف إلى مفاتيح يوبيكي OATH باستخدام بروتوكولات من OATH، وإضافة لحدثات المرور المؤلفة من 32 محرف المستخدمين في طريقة يوبيكولحدثات المرور لمرة ة واحدة (OTP) الخاصة. تضمن نموذج يوبيكي RFID وظائف OATH مع إضافة ميزة RFID MIFARE الكلاسيكية مع دارة مصغّرة بحجم 1ك. ولكن كان هذا المفتاح كان جهازاً مختلفاً حيث لم يكن بالإمكان القيام بإعداده باستخدام البرامج الداخلية من يوبيكو.

في شهر شباط عام 2012، طرحت يوبيكومفتاح يوبيكي نانو– نسخة مصغّرة عن المفتاح القياسي، التي تمت صناعتها ليتسع المفتاح بالكامل في المأخذ التسلسلي (USB) مع بروز صغير جداً للمس الزر وتفعيل المفتاح عند الحاجة. وقد تم إطلاق غالبية النماذج اللاحقة بالقياسين: المصغّر والقياسي.

وقد تميز عام 2012 أيضا بعرض نموذج يوبيكي الجديد يوبيكي نيو(YubiKey NEO)، الذي كان نتيجة لتطوير الأفكار المطبقة في مفتاح يوبيكي RFID مع دمج دعم تقنيه (NFC) الاتصال بالمجال القريب) جنبا إلى جنب مع شكل جهاز  USB. إذا مفتاح يوبيكي نيو(YubiKey NEO) (وكذلك نيو– ن، النسخة المصغّرة) لديهم القدرة على إرسال حدثة مرور لمرة واحدة إلى الأجهزة القارئة كجزء من الوصلات (URLs) التي يمكن إعدادها عبر الرسائل بنسق تبادل البيانات عبر الاتصال في مجال قريب (NFC Data Exchange Format (NDEF)) بالإضافة إلى محاكاة لوحة مفاتيح من نمط USB HID. يدعم مفتاح نيو(NEO) الاتصال باستخدام بروتوكول CCID، حيث حتى نظام CCID يستخدم للتعامل مع البطاقات الذكية المتوافقة مع PIV ودعم نظام OpenPGP، بينما يستخدم نمط USB HID للمصادقة حسب طريقة حدثات المرور لمرة واحدة. في عام 2014، تمّ تحديث مفاتيح يوبيكي نيولدعم المعامل الثاني الكامل للتحقق من الهوية (FIDO U2F). وبعد بقليل في نفس السنة، أطلقت شركة يوبيكوالمفتاح الأمني FIDO U2F الذي دعم تقنية U2F، ولكن دون دعم لبقية التقنيات والبروتوكولات مثلا حدثة المرور لمرة واحدة، الحدثات الثابتة، البطاقة الذكية أوالاتصال في المجال القريب (NFC) وهذه التقنيات موجودة في مفاتيح يوبيكي السابقة. ولكن عند المبيع، فقد تم بيع هذه المفاتيح بثمن (18$) وهوأقل ثمناً من مفاتيح يوبيكي القياسية (25$ و40$ لموديل نانو) وليوبيكي نيو(50$ و60$ لموديل NEO-n).

في شهر نيسان من عام 2015، بدأت شركة يوبيكوباإنتاج مفتاح يوبيكي ايدج (YubiKey Edge) بمقاسين – حجم المفتاح القياسي والحجم المصغّر – "نانو". وقد شغل هذا المفتاح الحيّز بين مفاتيح نيو(NEO) ومفاتيح من نمط FIDO U2F، باعتبار أنه قد تمّ تصميمه للعمل مع حدثات المرور لمرة واحدة ومع تقنية U2F للتحقق من الهوية في الوقت ذاته، لكن دون دعم لتقنية البطاقة الذكية أوالاتصال عن قرب (NFC).

ظهرت سلسلة يوبيكي أربعة (YubiKey 4) في الأسواق في شهر تشرين الثاني عام 2015 وتضم هذه السلسلة القياسين - حجم المفتاح القياسي والحجم المصغّر – "نانو". وتدعم مفاتيح يوبيكي أربعة أغلبية خصائص يوبيكي نيووالتي تسمح باستخدام مفاتيح OpenPGP بطول حتى 4096 بت (تستخدم المفاتيح السابقة 2048 بت) ولكن دون دعم نظام الاتصال عن قرب (NFC).

خلال المعرض الدولي CES 2017، عرضت شركة يوبيكي السلسة الموّسعة من مفاتيح يوبيكي أربعة بتصميم مع إضافة مأخذ USB-C. ومن ثمّ، فقد تمّ إطلاق مفتاح يوبيكي 4سي (YubiKey 4C) في 13 شباط عام 2017.

في نظام تشغيل أندرويد وعن طريق وصل المفتاح إلى مأخذ USB-C يمكن استعمال وظائف حدثات المرور لمرة واحدة، ولكن استخدام بقية التقنيات والوظائف بما فيها U2F حالياً غير ممكن. وظهرت نسخة يوبيكي سي نانوفي شهر إيلول 2017.

في نيسان عام 2018 قدمت شركة يوبيكي "مفتاح الأمن من يوبيكو" المبني على تقنيات FIDO2-WebAuthn التي تمّ تطبيقها للمرة الأولى (المفتاح الذي حصل على توصية من W3C في شهر مارس) وبروتكول "الزبون إلى المصادق" (Client To Authenticator Protocol – دعوة للعملP وهوتحت التطوير حسب شهر حزيران 2018). يمكن الحصول على الجهاز بالقياس العادي (قياس المفتاح المنزلي) مع مأخذ USB-A. مثل النموذج السابق "لمفتاح الأمن" FIDO U2F، جسم المفتاح ذولون أزرق ويحوي زراً عليه علامة مفتاح. والسمة الخاصة هي رقم 2 المحفور على الهيكل البلاستيكي بين الزر وفتحة التعليق مع مفاتيح أخرى. يعتبر هذا النموذج مفتاحاً غير مكلفاً مقارنةً مع النماذج يوبيكي نيوويوبيكي أربعة ويبلغ ثمنه 20$ للمفتاح الواحد في الأسواق. إذا المفاتيح من هذا النموذج لا تدعم تقنية توليد حدثات المرور لمرة واحدة ووظائف البطاقة الذكية مثل النماذج الأعلى ثمناً، ولكنها تدعم تقنية FIDO U2F.

بتاريخ 23 أيلول عام 2018، تم طرح الجيل الخامس من المفاتيح – يوبيكيخمسة التي تختلف هذه السلسلة عن سابقاتها بدعمها لبروتوكولات FIDO2 / WebAuthn مع إمكانية التحقق من الهوية دون حدثة مرور، ونموذج الذي يدعم تقنية الاتصال القريب (NFC) – يوبيكيخمسة (NFC) الذي استبدل نموذج يوبيكي نيو. تتألف سلسلة يوبيكيخمسة من أربعة مفاتيح بدعم متماثل لبروتوكولات التشفير، لكنهم يختلفون في مقاساتهم وأشكالهم: يوبيكيخمسة NFC (USB-A, NFC)، يوبيكيخمسة نانو(USB-A)، يوبيكيخمسة سي (USB-C) ويوبيكيخمسة سي نانو(USB-C).

النظام الستة عشري (ModHex)

عند استخدام حدثات المرور لمرة واحدة أوالثابتة منها، يقوم مفتاح يوبيكي بتوليد رموز باستخدام الأبجدية الستة-عشرية المعدلة التي مبنية على ان لا تكون تابعة لإعدادات نظام التشغيل للوحة المفاتيح. هذه الأبجدية التي تسمى ModHex أوModified Hexadecimal تتألف من الرموز "cbdefghijklnrtuv" التي تقابل الأرقام الستة-عشرية "0123456789abcdef". وبسبب حتى مفاتيح يوبيكي يعملون كجهاز USB HID ويستخدمون رموز-المسح، يمكن حتى تنشأ بعض المشاكل عند استخدام المفاتيح على الحواسب التي تعتمد نظام لوحة مفاتيح مختلف مثل لوحة مفاتيح من نوع Dvorak. وعند استخدام حدثات المرور لمرة واحدة يفضل تعديل إعدادات النظام إلى ترتيب لوحة المفاتيح إلى النمط القياسي "US" أوما يقابله. ومع ذلك، فإن مفاتيح يوبيكي نيووالنماذج الأكثر حداثة، يمكن إعدادهم للعمل مع رموز-مسح للوحة المفاتيح لمطابقتها مع ترتيب لوحة المفاتيح المستخدمة بغض النظر عن حالة ModHex.

بمساعدة مفاتيح يوبيكي والمفتاح الأمني من يوبيكو، يلتف التحقق من الهوية U2F على هذه المشكلة باستخدام البروتوكول البديل U2F HID الذي يرسل ويستقبل البيانات الثنائية دون استخدام رموز-المسح للوحة المفاتيح. وفي وضع CCID يعمل كقارئ للبطاقات الذكية ولا يستخدم بروتوكول HID مطلقاً.

الاعتبارات الأمنية لمفاتيح يوبيكي

قامت شركة يوبيكوبإستبدال الترميز المصدر (Source code) للمكونات مفتوحة المصدر (Open source) إلى مكونات مماثلة لكنها مغلقة (Closed source) والتي لايمكن الوصول إليها لمحاولة إيجاد ثغرات أمنية بها من قبل جهات أخرى. وتصرح شركة يوبيكوأنه قد تمّ التحقق التام من الترميز المصدر داخلياً وخارجياً.

مفاتيح يوبيكي نيو، كما في السابق يعتمدون على برامج ذات مصدر مفتوح. بتاريخ 16 أيار عام 2016، قام المهندس الرئيس في يوبيكو- جايكوب ارنستفيرد – وخلال ما نشر له في مدونة بالإجابة على على مخاوف مجموعة مبرمجي المصادر المفتوحة وصرّح بأن شركة يوبيكوجاهزة لدعم المصدر المفتوح للترميز، وشرح مسببات ومميزات التحديثات التي تمّ تطبيقها في يوبيكي 4.

في شهر تشرين الأول عام 2017 عثر الباحثون ثغرة أمنية (معروفة باسم ROCA) في مخطة التشفير التي توّلد مفاتيح التشفير المزدوجة RSA، التي تستخدمها مجموعة كبيرة من الدارات الالكترونية الأمنية من شركة Infineon. تسمح الثغرة الأمنية بإعادة بناء المفتاح المغلق (الخاص) باستخدام المفتاح العام (المفتوح). جميع المفاتيح يوبيكي 4، يوبيكي أربعة سي، يوبيكي أربعة نانوذوي الإصدار رقم 4.2.6 حتى 4.3.4 قد تعرضوا لهذه الثغرة الأمنية. وقد طرحت شركة يوبيكوفوراً برامج خاصة للتحقق من وجود الثغرة الأمنية وتم تبديل كافة المفاتيح ذات الثغرة بمفاتيح أمنية جديدة غيرها مجاناً.

فيدو2 (FIDO2) تحقق من الهوية دون حدثة مرور

فيدو2 (FIDO2) هوالمعيار المطوّر للمعامل الثاني الكامل للتحقق من الهوية (FIDO U2F) والذي تمّ تطويره من قبل شركتي يوبيكووجوجل. فبينما يعتمد بروتوكول U2F على اسم المستخدم وحدثة المرور، يملك FIDO2 خيارات أوسع للاستخدام بما فيها التحقق من الهوية دون حدثة مرور. عملت يوبيكومع شركة مايكروسوفت جنباً إلى جنب لإنشاء المواصفات التقنية ويعتبر"المفتاح الأمني" من يوبيكوأول جهاز يدعم FIDO2 يطرح في الأسواق. وفي أيلول عام 2018 تمت إضافة FIDO2 / WebAuthn إلى المفاتيح الأمنية من سلسلة يوبيكي 5.

قائمة ببعض البرامج والخدمات التي تدعم مفاتيح يوبيكي

• Bitwarden
• Bitbucket
• Compose
• Dashlane
• Digidentity/GOV.UK Verify
• Dropbox
• Facebook
• Fastmail
• Google
• GitLab
• GitHub
• كراكن
• LastPass
• ماك أوس
• Mailbox.org
• Micro Focus
• Nextcloud
• Okta
• Password Safe
• Posteo
• Salesforce
• Sentry
• Stripe
• Thexyz
• Vanguard
• Pluggable Authentication Modules (PAM)
• مايكروسوفت ويندوز إصدارسبعة وما بعده. خوادم مايكروسوفت ويندوز 2008 آر2 ومابعدها.
• KeePass
• KeePassXC
• Versasec vSEC:CMS

انظر أيضاً

OpenPGP

مراجع

وصلات خارجية

مسقط شركة يوبيكي الرسمي