¿Es la implementación OpenPGP del código abierto de YubiKey 4?

8

Aunque las versiones anteriores de YubiKey (por ejemplo, Neo y Neo-N) usaron un applet Java de código abierto para manejar OpenPGP firma, cifrado y autenticación, no está claro en el sitio web y la documentación de yubico si esto también es válido para el nuevo YubiKey 4 .

    
pregunta Jonathan Cross 11.05.2016 - 15:40
fuente

1 respuesta

6

No, el Yubikey 4 es no es código abierto :

  

La implementación no es de código abierto, eso es correcto. Tenemos una revisión interna y externa de nuestro código para garantizar que sea seguro. Es importante recordar que el código de fuente abierta no es garantía de que los errores / vulnerabilidades se detecten cuando el error al que se ha vinculado se demuestra bastante bien. El error se heredó del proyecto en el que se basa ykneo-openpgp y NO fue detectado por ninguna auditoría del código fuente. Fue la interacción con el dispositivo lo que llevó a su descubrimiento.

     

Todos estamos a favor del código abierto, e intentamos abrir el código fuente tanto de nuestro código como sea posible cuando y donde tenga sentido, pero en este caso se determinó que no es así. Una razón es que en el NEO de YubiKey, cada applet se ejecuta en su propia caja de arena, aislado del resto del sistema y puede ser auditado / razonado por su cuenta. Este no es el caso en la YubiKey 4, donde cada parte del sistema interactúa con varias otras. Otra razón por la que se implementó ykneo-openpgp como un proyecto de código abierto (además de poder aprovechar un proyecto existente) fue que fue útil para otros, ya que puede ejecutarse en una variedad de dispositivos. Nuevamente, este no es el caso de la implementación que se ejecuta en YubiKey 4.

Aunque los dispositivos más antiguos, como el NEO de Yubikey, usaban un applet de código abierto, los dispositivos Yubikey 4 más nuevos cambiaron silenciosamente a una implementación de código cerrado patentada.

    
respondido por el Jonathan Cross 11.05.2016 - 15:40
fuente

Lea otras preguntas en las etiquetas