| <colbgcolor=#9aca3c,#005572><colcolor=#fff> YubiKey | |
| | |
| 개발 | yubico |
| 종류 | 하드웨어 인증 키 |
| 펌웨어 버전 | 5.7 |
| 지원 운영체제 | Microsoft Windows | macOS | Linux | Android | iOS |
| 지원 기능 | OTP, FIDO, Passkey, OpenPGP 등 |
| | |
[clearfix]
1. 개요
미국 & 스웨덴 기업인 Yubico에서 만들고 있는 하드웨어 보안 키(보안 토큰)이다.# #보안 등급은 농담 안 하고 최상급이다. 펜타곤, 미합중국 육군, 미국 국무부, 영국 정부 등에서 절찬리에 사용하고 있다. 물론 연방정부에 들어가는 물건들, 특히 펜타곤이라든가 미 육군은 연방 정부 컴퓨터 시스템에 대한 NIST 표준 FIPS 140-2를 따른 YubiKey FIPS 시리즈(인증 탓에 10달러가 더 붙는다)지만... 그래서 미국 법으로 FIPS 시리즈건 혹은 일반 시리즈건 못 파는 국가가 존재한다. Yubico 공식 사이트 기준 구매하고 싶어도 못 구매하는 국가는 다음과 같다.[1]
보면 알겠지만, 미국의 적성 국가들이 포함되어 있으며 우크라이나와 코소보를 제외하면 전부 독재국가다. 즉, 최고 수준의 암호화 장비라는 것.[5] 대한민국에 (주)에어큐브 총판이 존재한다.
Yubico에서는 회사의 사회적 가치를 위해서 2019년 홍콩 민주화 운동 당시 활동가들에게 500개의 YubiKey를 준 적이 있다. 그러니까 그들이 주고 받는 이메일은 미 국무부급 수준의 암호로 암호화되어서 중국공산당이 내용을 알고 그걸 보고 싶어도 못 보는 상황이 발생하였다. 이 밖에도 EFF, IWW 같은 NGO들에게 YubiKey를 주기도 했다.
2. 기술 사양
| 기기 호환 정보 | |||
| 생산성 & 커뮤니케이션 | 구글 계정, 마이크로소프트 계정, Proton 계정 | ||
| 비밀번호 관리자 | Keeper®, LastPass Premium, 1Password, Bitwarden Premium | ||
| 클라우드 스토리지 | Dropbox | ||
| SNS | 페이스북, X | ||
| 상기 사용처는 예시이며, 실제로는 더 많은 곳에서 사용 가능합니다. | |||
| 저장 공간 | |||
| 패스키(FIDO2) 슬롯 | OATH 슬롯 | PIV 인증서 슬롯 | OTP 시드 개수 |
| 100 | 64 | 24 | 2 |
| 탑재 기술 | |||
| 보안 기능 | WebAuthn, FIDO2 CTAP1, FIDO2 CTAP2, Universal 2nd Factor (U2F), Smart card (PIV-compatible), Yubico OTP, OATH – HOTP (Event), OATH – TOTP (Time), OpenPGP, Secure Static Passwords | ||
| 인증 | FIDO Universal 2nd Factor (U2F), FIDO2, IP68 | ||
| 암호화 사양 | RSA 2048, RSA 3072, RSA 4096 (PGP), ECC P256, ECC P384, ED25519, X25519 | ||
| 국립전파연구원 전파 인증 | |||
| 모델명 | 인증 번호 | ||
| Yubikey 5 계열 | R-R-YUB-00001YKA | ||
| Yubikey 5C 계열 | R-R-YUB-00014YKC | ||
| Yubikey 5Ci | R-R-YUB-00012YKCi | ||
| YK Bio, YK CBio | R-R-YUB-00021BIO | ||
3. 여분의 중요성
YubiKey는 작다. 작다는 것은 휴대하기 쉽다는 것을 의미하지만, 분실의 위험도 크다는 것도 의미한다.자동차를 사면 기본 키와 함께 예비 키를 준다. 왜? 기본 키를 잃어버려서 자동차의 문을 열지 못하는 사태가 있을 수 있기 때문이다. 설령 그런 일이 없을지라도, 2개 이상의 키가 있음에 안심할 수 있다.
그런 이유로 YubiKey가 하나밖에 없다면, 구글 계정에 YubiKey를 제외한 다른 인증 수단이 준비되어있지 않다면, 당신은 구글 계정에 액세스할 수 없게 될지도 모른다. 그렇기에 제작사인 Yubico에서도 기본키와 백업키를 동시에 등록하는 것을 강력히 권장한다. Yubico 공식 홈페이지에서는 YubiKey 한 쌍을 팔기도 한다.
YubiKey 5 NFC를 사고, 백업키로 YubiKey 5C NFC를 사는 것은 같은 시리즈의 USB 타입만 다른 키로 별 문제가 없다.
다만, 해외 직구로 구매 시에는 YubiKey 공식 사이트나 아마존에서 살 때 주의해야 한다. 위에 전파인증을 받은 것으로 확인된 YubiKey 5와 YubiKey 5 NFC 등 일반 모델의 경우 제조사인 Yubico에서 전파인증을 받았으므로 구매 개수에 제한이 없지만 그 외 FIDO 인증만 지원하는 Security Key 시리즈, FIPS 시리즈, HSM2 시리즈 모델의 경우 2개 이상 구매할 경우 세관에서 폐기될 수 있다.
4. 사용처
4.1. FIDO
그냥 Microsoft Windows나 macOS, 리눅스 같은 운영체제에 꽂으면 아무것도 없는 깡통 USB로 인식된다. 그러나 컴퓨터의 설정을 보면 YubiKey OTP+FIDO+CCID로 표기된다. 여기서 FIDO는 Fast IDentity Online라고 비밀번호를 보완하는 시스템이다. YubiKey의 FIDO는 크게 패스워드와 더불어 추가적인 인증을 요구하게 하는 CTAP1(U2F)와 패스워드없이 로그인 할 수 있게 해주는 CTAP2(WebAuthn) 두가지 기능을 지원한다.예를 들어, 구글의 고급 보호 옵션에서는 YubiKey 같은 FIDO U2F가 지원되는 키를 등록할 수 있다.구글의 고급 보호를 켠 상태에서 장비에 로그인하면, 구글측은 기존에 등록된 보안키로 인증하라고 한다. 이건 안드로이드도 마찬가지고, 일반 구글 로그인도 마찬가지다. 만약에 기존에 등록된 보안키를 안 꽂는다 싶으면 구글은 로그인을 차단시켜 버린다. 따라서, 하나는 기본적으로 사용하는 키, 하나는 백업용으로 2개의 키를 두는 것이 좋다.[6] 아니면, 구글 계정의 경우 추가적으로 10개의 일회용 복구 키를 발급할 수 있다. Yubikey 2개를 구매하기에는 부담스럽거나, 아니면 혹시나 키를 다른 곳에 두고 왔을 때 긴급할 때 로그인하는 경우를 고려하면, 발급해두는 것이 좋을 수 있다.
또한 WebAuthn 로그인이라고 있는데, 서버에 키를 등록시켜두면 귀찮게 OTP를 등록해두지 않아도 보안키만 한번 눌러주면 자동으로 로그인이 된다. 그래서 2단계 OTP에서 WebAuthn 로그인을 클릭하고 USB를 꽂거나 혹은 NFC(선택사항)을 해주면 직통 로그인이 되어버린다.
단순히 FIDO기능만 필요하다면, 가장 저렴한 Security Key(25불)를 구매하면 된다. Security Key는 FIDO U2F 기능만 제공한다고 보면 된다. 단, 한국에서 Security Key 시리즈는 전파인증을 받지 않았으므로 구매시 통관에 주의하여야 한다.
YubiKey Bio 시리즈는 NFC 지원 모델은 없지만 대신 지문인식이 추가되어 CTAP2으로 사용시에도 2개의 인증(보안키, 지문)을 요구하는 2FA이 되며, CTAP1으로 사용시 3개의 인증(비밀번호, 보안키, 지문)을 요구하는 MFA가 된다.
4.2. OTP
당연히 칩에서 OTP를 지원한다. FIDO도 지원하지만, OTP 정보를 칩 안에 넣어서 다닐 수 있다. 즉, YubiKey에 들어간 모든 OTP 정보는 YubiKey에 저장된다. Yubico Authenticator을 설치해도, 기본적으로는 아무것도 나오지 않는다. YubiKey를 삽입해야 2단계 인증 키를 알 수 있다.4.3. OpenPGP
외부에서 칩으로 PGP 키를 주입하거나 칩 내부에서 PGP 키를 생성하고, 칩 내부의 PGP 키로 암호화, 복호화, 전자서명을 지원한다. 칩에서 생성한 PGP 키는 칩 밖으로 꺼낼 수 없도록 설계되어 외부에서 키를 주입하는 것보다 더 안전하다. 만일의 상황에 YubiKey만 잘 숨길 수 있다면 기존에 암호화한 파일은 현재의 기술로는 복구가 불가능하다. 다만, 역으로 자신이 YubiKey를 분실한다면 자신도 암호화한 파일을 읽을 수 없으니 관리에 주의해야 한다.그렇다고 OpenPGP는 FIDO 2FA처럼 YubiKey의 분실에 대비해 단순히 2개를 준비해 암호화하는 방법으로는 부족하다. PGP는 2개의 PGP 키로 암호화하는 것을 지원하지만, 하나의 PGP 키만 알아도 파일을 열람할 수 있기 때문이다. 따라서, 파일을 암호화하여 보관하는 USB와 YubiKey를 동시에 잃어버리면[7] 자신의 비밀이 유출될 수 있다. 만약 YubiKey를 분실하여 자신도 암호화된 파일에 접근할 수 없는 상황을 방지하면서 위와 같은 상황을 방지하고자 한다면 샤미르 비밀 공유를 사용할 수 있다. 샤미르 비밀 공유는 비밀을 n개로 쪼개고 그 중 k개가 있어야만 실제 비밀을 알 수 있도록 하는 알고리즘이다.
예를들어 실제 파일을 암호화하는 PGP 키[8]를 매우 강력한 패스워드[9]으로 추가로 생성하고 그 패스워드를 샤미르 비밀 공유로 3개로 쪼갠다. 그 중 2개는 YubiKey의 PGP 키로 암호화하고 나머지 1개는 약한 패스워드[10]를 가지는 PGP 키[11]로 암호화한다. 평소에 파일을 암호화하여 보관할 때는 공개키를 이용하여 암호화하므로 암호화 PGP 키의 강력한 패스워드를 알 필요 없다. 암호화된 파일을 열람할 때에 비로소 강력한 패스워드가 필요한데, 해당 패스워드를 알기 위해선 총 3개[12] 중 2개[13][14]가 필요하다. 이를 통해 2FA 암호화를 구현하여 위에서 지적된 상황을 막고 기밀성과 가용성을 모두 챙길 수 있다.
[1] 정작 쿠바는 최근에 구매할 수 있다고 나온다.[R] 별도의 총판을 통해 구매 가능[R] 별도의 총판을 통해 구매 가능[4] 이쪽은 제조사가 미승인 국가로 취급하기 때문인 것으로 추정[5] 이들 국가에 소재하는 경우 테러지원국이나 크림 및 돈바스 지역, 중국(이 쪽은 배송이 가능하나 당국에 걸릴 가능성이 높다.), 러시아 정도가 아니면 그냥 Nitrokey 같은 대안을 주문하는 게 낫다.[6] 백업용이 없어도 사용은 가능하나, 분실의 위험과 혹시 모를 상황을 대비해 백업용 YubiKey를 하나 보관하는 게 좋다. Yubico에서도 백업용 키를 두는 것을 추천한다.[7] 또는 수사기관에 의해 압수수색 등으로 집에 보관하고 있더라도 동시에 유출될 수 있다.[8] YubiKey에 보관하지 않고 파일로 보관한다.[9] 완전 무작위 100자리 패스워드처럼 외우거나 크랙할 수 없는 수준[10] 외울 수 있는 수준[11] YubiKey에 보관하지 않고 파일로 보관한다.[12] YubiKey 2개, 그리고 약한 패스워드 1개[13] YubiKey 2개 또는 YubiKey 1개와 약한 패스워드[14] YubiKey 두 개가 모두 유출되면 복호화될 수 있으나 한 개는 계속 휴대하고 다니면서 압수수색 등 긴박한 경우 휴대중인 YubiKey를 박살내 버리면 다른 YubiKey가 압수수색으로 유출되더라도 시간을 벌 수 있다. 추후에 다른 YubiKey만 돌려받으면 다시 파일을 복호화할 수 있다.