YubiKey: 두 판 사이의 차이

2018년 1월 30일 (화) 01:06 판

YubiKey 버튼을 누르는 모습.

Yubikey(ko)는 Yubico에서 개발/제조하는 보안 키로, 여러가지 기능을 지원한다. USB-A포트나 USB-C포트를 쓰며 일부 모델은 NFC를 지원한다.

지원되는 기능

스마트카드와 OpenPGP : GPG 인증서나 S/MIME^[1]인증서등을 보관하거나 생성하고, 암호화 작업을 수행할 수 있다.
FIDO U2F : GitHub, 페이스북, 구글등에서 지원하는 USB 보안 키를 이용한 2차 인증 방식을 사용할 수 있다.
OATH-HOTP, OATH-TOTP : 기존 OTP를 사용할 수 있다.
Challenge-response
정적 비밀번호 자동입력
Yubico OTP^[2] : Yubico사에서 개발한 OTP

모델 종류

YubiKey 4와 Yubikey 4C 사이에 기능적인 차이는 존재하지 않으며 오직 USB-A인가 USB-C인가의 여부만이 다르다. 일반형과 나노형도 기능적인 차이는 존재하지 않으며 공식 사이트에서 40$에 판매되고 있다. ^[3] 또한 YubiKey NEO는 NFC를 지원하여 모바일에서 쉽게 사용할 수 있다. 하지만 YubiKey NEO는 RSA 4096, ECC p384를 지원하지 않으며 공식 사이트에서 50$에 판매되고 있다. FIDO U2F Security Key는 말 그대로 FIDO U2F만 지원하는 키이다. 지원하는 기능이 단 하나밖에 없는 대신 가격은 18$로 매우 싸다. 표로 요약하지면 다음과 같다.

기능/가격 비교
	YubiKey 4	YubiKey 4C	YubiKey NEO	FIDO U2F Securtiy Key
	일반 사이즈 나노 사이즈	일반 사이즈 나노 사이즈
포트	USB-A	USB-C	USB-A + NFC	USB-A
RSA2048 지원	O	O	O	X
RSA4096 지원	O	O	X	X
ECCp256 지원	모두 지원
ECCp384 지원	O	O	X	X
가격	$40 (일반 사이즈) $50 (나노 사이즈)	$50 (일반 사이즈) $60 (나노 사이즈)	$50	$18

FIDO U2F 및 Yubikey를 지원하는 어플리케이션/사이트

이외에도 수많은 사이트와 프로그램들^[4]이 Yubikey 혹은 FIDO U2F 인증을 지원한다.

미지원 사이트에서 YubiKey로 2차 인증하기

Yubico Authenticator를 이용해 OATH-TOTP 코드를 생성한 모습

Yubico Authenticator에서 OTP 코드 생성을 시도하자 YubiKey 터치를 요구하는 모습

이 경우 OATH-TOTP^[5] 방식을 이용하여 인증하면 된다. 이곳에서 Yubico Authenticator 프로그램을 다운로드하고 OTP 설정을 추가하여 일반 OTP를 쓰듯 사용할 수 있다. 다만 YubiKey NEO 소유자의 경우 직접 활성화 해줘야 하는 경우가 있다.

OTP 설정을 추가할때 선택적으로 터치를 요구하도록 할 수 있다. 이 경우 OTP 코드 생성시 YubiKey에 있는 하프라이트 닮은 버튼을 눌러야 생성된다. OTP 코드를 생성할때 직접 New credential 메뉴를 선택해 키를 수동으로 입력할 수도 있지만 Scan QR 메뉴를 선택해 데스크톱에서 보이는 QR코드를 자동으로 인식하여 코드, OTP 유형 등이 다 채워진 New credential 창을 띄울 수도 있다. 여기서 OK만 눌러주면 OTP 설정이 추가된다.^[6]

OTP 설정을 추가할때 New credential 메뉴를 수동으로 채우는 방법이 아닌 Scan QR 메뉴를 이용하는 방법을 추천한다.

GPG와 YubiKey 같이 이용하기

GPG에서도 YubiKey를 지원한다. 플러그앤플레이이므로 드라이버 따위 설치할 필요가 없다. YubiKey에 인증서를 옮기거나 YubiKey에서 인증서를 만드는 것 둘 중 하나를 택해 YubiKey에 인증서를 마련할 수 있다. 여기서 주의할 점은 YubiKey에서 인증서를 만들때 인증서를 만든 컴퓨터에만 공개키(Public Key)가 GPG 키 목록(GPG Keyring)에 추가된다. 다른 컴퓨터에서는 Yubikey에서 공개키를 추출할 수 없다. 따라서 이 점을 유의해야 하며 추후 서술할 card-edit에서 url을 지정하여 공개키를 쉽게 다운로드할 수 있도록 할 수 있다.

각주

↑ 이메일 서명이나 PDF 서명 등에 이용할 수 있는 인증서로 인증기관에서 발급할 수 있다.
↑ 그냥 OTP랑 다르며 사이트에서 지원하는 경우에만 사용 가능
↑ 참고 : compare yubikeys
↑ 위 목록에 적진 않았으나 꽤 많다.
↑ 구글 OTP 및 Authy 앱의 방식
↑ 물론 터치를 요구하려면 Require touch를 체크해야 한다.

@@ 73번째 줄: / 73번째 줄: @@
 == [[GPG]]와 YubiKey 같이 이용하기 ==
-[[GPG]]는 스마트카드를 잘 지원한다. --작성중--
+[[GPG]]에서도 YubiKey를 지원한다. 플러그앤플레이이므로 드라이버 따위 설치할 필요가 없다.
+YubiKey에 인증서를 옮기거나 YubiKey에서 인증서를 만드는 것 둘 중 하나를 택해 YubiKey에 인증서를 마련할 수 있다. 여기서 주의할 점은 YubiKey에서 인증서를 만들때 인증서를 만든 컴퓨터'''에만''' 공개키(Public Key)가 GPG 키 목록(GPG Keyring)에 추가된다. 다른 컴퓨터에서는 Yubikey에서 공개키를 추출할 수 '''없다.''' 따라서 이 점을 유의해야 하며 추후 서술할 card-edit에서 url을 지정하여 공개키를 쉽게 다운로드할 수 있도록 할 수 있다.
 {{각주}}
 [[분류:보안 소프트웨어]]
 [[분류:컴퓨터 프로그래밍]]