<colbgcolor=#9aca3c><colcolor=#fff> YubiKey | |
개발 | yubico |
종류 | 하드웨어 인증 키 |
펌웨어 버전 | 5.7 |
지원 운영체제 | Microsoft Windows | macOS | Linux | Android | iOS |
지원 기능 | OTP, FIDO, Passkey, OpenPGP 등 |
[clearfix]
1. 개요
미국 & 스웨덴 기업인 Yubico에서 만들고 있는 하드웨어 보안 키(보안 토큰)이다.# #보안 등급은 농담 안 하고 최상급이다. 펜타곤, 미합중국 육군, 미국 국무부, 영국 정부 등에서 절찬리에 사용하고 있다. 물론 연방정부에 들어가는 물건들, 특히 펜타곤이라든가 미 육군은 연방 정부 컴퓨터 시스템에 대한 NIST 표준 FIPS 140-2를 따른 YubiKey FIPS 시리즈(인증 탓에 10달러가 더 붙는다)지만... 그래서 미국 법으로 FIPS 시리즈건 혹은 일반 시리즈건 못 파는 국가가 존재한다. Yubico 공식 사이트 기준 구매하고 싶어도 못 구매하는 국가는 다음과 같다.[1]
보면 알겠지만, 미국의 적성 국가들이 포함되어 있으며 우크라이나와 코소보를 제외하면 전부 독재국가다. 즉, 최고 수준의 암호화 장비라는 것.[5] 대한민국에 (주)에어큐브 총판이 존재한다.
Yubico에서는 회사의 사회적 가치를 위해서 2019년 홍콩 민주화 운동 당시 활동가들에게 500개의 YubiKey를 준 적이 있다. 그러니까 그들이 주고 받는 이메일은 미 국무부급 수준의 암호로 암호화되어서 중국공산당이 내용을 알고 그걸 보고 싶어도 못 보는 상황이 발생하였다. 이 밖에도 EFF, IWW 같은 NGO들에게 YubiKey를 주기도 했다.
2. 기술 사양
기기 호환 정보 | |||
생산성 & 커뮤니케이션 | 구글 계정, 마이크로소프트 계정, https://Saleforce.com | ||
비밀번호 관리자 | Keeper®, LastPass Premium, 1Password, Bitwarden Premium | ||
클라우드 스토리지 | Dropbox | ||
SNS | 페이스북, X | ||
상기 사용처는 예시이며, 실제로는 더 많은 곳에서 사용 가능합니다. | |||
저장 공간 | |||
패스키(FIDO2) 슬롯 | OATH 슬롯 | PIV 인증서 슬롯 | OTP 시드 개수 |
100 | 64 | 24 | 2 |
기준 | |||
보안 기능 | WebAuthn, FIDO2 CTAP1, FIDO2 CTAP2, Universal 2nd Factor (U2F), Smart card (PIV-compatible), Yubico OTP, OATH – HOTP (Event), OATH – TOTP (Time), OpenPGP, Secure Static Passwords | ||
인증 | FIDO Universal 2nd Factor (U2F), FIDO2, IP68 | ||
암호화 사양 | RSA 2048, RSA 3072, RSA 4096 (PGP), ECC P256, ECC P384, ED25519, X25519 | ||
국립전파연구원 전파 인증 | |||
모델명 | 인증 번호 | ||
Yubikey 5 | R-R-YUB-00001YKA | ||
Yubikey 5C | R-R-YUB-00014YKC | ||
Yubikey 5Ci | R-R-YUB-00012YKCi | ||
YK Bio | R-R-YUB-00021BIO |
3. 여분의 중요성
YubiKey는 작다. 작다는 것은 휴대하기 쉽다는 것을 의미하지만, 분실의 위험도 크다는 것도 의미한다.자동차를 사면 기본 키와 함께 예비 키를 준다. 왜? 기본 키를 잃어버려서 자동차의 문을 열지 못하는 사태가 있을 수 있기 때문이다. 설령 그런 일이 없을지라도, 2개 이상의 키가 있음에 안심할 수 있다.
그런 이유로 YubiKey가 하나밖에 없다면, 구글 계정에 YubiKey를 제외한 다른 인증 수단이 준비되어있지 않다면, 당신은 구글 계정에 액세스할 수 없게 될지도 모른다. 그렇기에 제작사인 Yubico에서도 기본키와 백업키를 동시에 등록하는 것을 강력히 권장한다. Yubico 공식 홈페이지에서는 YubiKey 한 쌍을 팔기도 한다.
YubiKey 5 NFC를 사고, 백업키로 YubiKey 5C NFC를 사는 것은 같은 시리즈의 USB 타입만 다른 키로 별 문제가 없다.
다만, 해외 직구로 구매 시에는 YubiKey 공식 사이트나 아마존에서 살 때 주의해야 한다. YubiKey 5 일반 모델과 YubiKey 5 NFC 모델의 경우 제조사인 Yubico에서 전파인증을 받았으므로 구매 개수에 제한이 없지만 그 외 다른 모델의 경우 2개 이상 구매할 경우 세관에서 폐기될 수 있다.
4. 사용처
4.1. FIDO
그냥 Microsoft Windows나 macOS, 리눅스 같은 운영체제에 꽂으면 아무것도 없는 깡통 USB로 인식된다. 그러나 컴퓨터의 설정을 보면 YubiKey OTP+FIDO+CCID로 표기된다. 여기서 FIDO는 Fast IDentity Online라고, U2F를 지원한다. 간단하게, 비밀번호를 보완하는 시스템이다. 예를 들어, 구글의 고급 보호 옵션에서는 YubiKey 같은 FIDO가 지원되는 키를 등록할 수 있다. 2개의 키가 있는 것이 좋다. 하나는 기본적으로 사용하는 키, 하나는 백업용.[6] 구글의 고급 보호를 켠 상태에서 듣도 보도 못한 장비에 꽂으면, 구글측은 등록한 보안키 꽂으면(혹은 NFC 인증)이라고 한다. 이건 안드로이드도 마찬가지고, 일반 구글 로그인도 마찬가지다. 만약에 등록된 보안키를 안 꽂는다 싶으면 구글은 로그인을 차단시켜 버린다.또한 WebAuthn 로그인이라고 있는데, 서버에 키를 등록시켜두면 귀찮게 OTP를 등록해두지 않아도 보안키만 한번 눌러주면 자동으로 로그인이 된다. 그래서 2단계 OTP에서 WebAuthn 로그인을 클릭하고 USB를 꽂거나 혹은 NFC(선택사항)을 해주면 직통 로그인이 되어버린다.
예시로 구글 계정의 경우, 추가적으로 10개의 일회용 복구 키를 발급할 수 있다. Yubikey 2개를 구매하기에는 부담스럽거나, 아니면 혹시나 키를 다른 곳에 두고 왔을 때 긴급할 때 로그인하는 경우를 고려하면, 발급해두는 것이 좋을 수 있다.
단순히 FIDO기능만 필요하다면, 가장 저렴한 Security Key(25불)를 구매하면 된다. Security Key는 FIDO U2F 기능만 제공한다고 보면 된다.
4.2. OTP
당연히 칩에서 OTP를 지원한다. FIDO도 지원하지만, OTP 정보를 칩 안에 넣어서 다닐 수 있다. 즉, YubiKey에 들어간 모든 OTP 정보는 YubiKey에 저장된다. Yubico Authenticator을 설치해도, 기본적으로는 아무것도 나오지 않는다. YubiKey를 삽입해야 2단계 인증 키를 알 수 있다.[1] 정작 쿠바는 최근에 구매할 수 있다고 나온다.[R] 별도의 총판을 통해 구매 가능[R] 별도의 총판을 통해 구매 가능[4] 이쪽은 제조사가 미승인 국가로 취급하기 때문인 것으로 추정[5] 이들 국가에 소재하는 경우 테러지원국이나 크림 및 돈바스 지역, 중국(이 쪽은 배송이 가능하나 당국에 걸릴 가능성이 높다.), 러시아 정도가 아니면 그냥 Nitrokey 같은 대안을 주문하는 게 낫다.[6] 백업용이 없어도 사용은 가능하나, 분실의 위험과 혹시 모를 상황을 대비해 백업용 YubiKey를 하나 보관하는 게 좋다. Yubico에서도 추천한다.