uTrust FIDO2 NFC Security Key - що це за ключ і чи варто брати замість Yubico
uTrust FIDO2 NFC Security Key - апаратний ключ з мультипротокольною підтримкою і нижчою ціною, ніж Yubico. Що він вміє, чого не вміє і коли варто обирати саме його.
Що таке uTrust FIDO2 NFC і хто його робить
uTrust FIDO2 NFC Security Key - апаратний ключ безпеки від американської компанії Identiv (тепер під брендом Hirsch Secure після продажу підрозділу у вересні 2024 року). Ключ підтримує FIDO2, WebAuthn і U2F для входу без пароля або як другий фактор.
На відміну від Yubico, яку знає майже кожен хто цікавився апаратними ключами, Identiv/Hirsch - менш відоме ім’я. Але продукт реальний: сертифікований FIDO Alliance, використовує чіп Infineon SLE 78 (той самий клас, що і в корпоративних смарт-картах), збирається в США і має TAA відповідність для держсектору.
Ключ продається у двох варіантах: USB-A (Part 905601) і USB-C (Part 905602). Обидва з NFC.
Важливо розрізняти три версії в лінійці:
- uTrust NFC USB-A - базова, FIDO2 + U2F + HOTP/TOTP, без PIV
- uTrust NFC USB-C - базова, FIDO2 + U2F + HOTP/TOTP, без PIV
- uTrust FIDO2 NFC+ - розширена, додає PIV і роботу з Windows 10 Standalone через uTrust Key Manager
- uTrust FIDO2 GOV - версія з FIPS 140-3 для держсектору
Якщо ви бачите ключ без позначення «+» або «GOV» - це базова NFC версія без PIV.
Протоколи: що підтримує, а чого немає
uTrust FIDO2 NFC підтримує:
- FIDO2 / WebAuthn (CTAP1 і CTAP2) - passkeys, вхід без пароля
- FIDO U2F - другий фактор для старіших сервісів
- OATH-HOTP - одноразові паролі за лічильником (вимагає uTrust Key Manager для завантаження seed)
- OATH-TOTP - одноразові паролі за часом (аналогічно, потрібен Key Manager)
Не підтримує базова NFC версія:
- PIV (Smart Card) - підтримується тільки в NFC+ і GOV версіях
- OpenPGP - відсутній у всій лінійці uTrust
- Challenge-Response у форматі Yubico OTP
Саме тут - ключова різниця з YubiKey 5 NFC, де PIV і OpenPGP є з коробки без додаткового програмного забезпечення.
Порівняння з Yubico Security Key NFC
| Параметр | uTrust FIDO2 NFC | Yubico Security Key NFC |
|---|---|---|
| FIDO2 / WebAuthn | ✓ | ✓ |
| FIDO U2F | ✓ | ✓ |
| OATH-HOTP / TOTP | ✓ (через Key Manager) | ✗ |
| PIV (Smart Card) | ✗ (тільки NFC+) | ✗ |
| OpenPGP | ✗ | ✗ |
| Роз’єми | USB-A + NFC | USB-A + NFC |
| Сертифікація | FIDO2 Level 1 | FIDO2 Level 1 |
| Виробництво | США (TAA) | Швеція |
| Чіп | Infineon SLE 78 | Infineon SLE 97 |
| Зручність кнопки | ⚠ глибока, менш зручна | ✓ стандартна |
Висновок з таблиці: uTrust NFC виграє якщо потрібен HOTP/TOTP на тому ж ключі. Yubico Security Key NFC - простіший у щоденному використанні, кнопка фізично зручніша.
Для кого підійде
- Захист Google, Microsoft, GitHub, Delta, Binance, Coinbase - FIDO2 і U2F достатньо для всіх цих сервісів
- Тих, кому потрібен HOTP/TOTP на апаратному ключі - якщо сервіс вимагає OATH-код, uTrust NFC це вміє (Yubico Security Key - ні)
- IT-команди і DevOps які хочуть альтернативу Yubico без переплати і з мультипротокольністю
- Держзакупівлі і TAA-вимоги - збирається в США, відповідає Trade Agreements Act
Не підходить якщо:
- Потрібен PIV для корпоративного VPN або смарт-карти → YubiKey 5 NFC
- Важлива зручність кнопки при щоденному використанні → кнопка у uTrust розташована глибше в корпусі, ніж у Yubico
Практичні особливості
uTrust Key Manager. Для налаштування HOTP/TOTP потрібне окреме ПЗ - uTrust Key Manager (Windows). Для базового FIDO2 і U2F програмне забезпечення не потрібне: ключ працює нативно в браузері.
FIDO2 PIN. Блокується після 8 невірних спроб підряд. Розблокувати можна тільки через скидання FIDO2 застосунку - всі зареєстровані credentials при цьому видаляються.
Зміна бренду. У вересні 2024 Identiv продала підрозділ компанії Hirsch Secure. Ключі продаються і підтримуються далі, але офіційний сайт тепер hirschsecure.com, а не identiv.com. Прошивка оновлюється.
Фізична міцність. Корпус пластиковий, без металевої вставки як у деяких Yubico моделей. За незалежними тестами - менш міцний ніж YubiKey у довгостроковому використанні.
Безпека і вразливості
Публічних CVE для uTrust FIDO2 NFC Security Key не зафіксовано станом на момент публікації.
Для порівняння: Yubico у 2024 році розкрила EUCLEAK (CVE-2024-45678) - теоретичну атаку на відновлення приватного ключа через side-channel аналіз на чіпах Infineon. Вона стосувалася YubiKey 5 з прошивкою до 5.7 і вимагала фізичного доступу до ключа та спеціального обладнання. Для FIDO2 сценарію захисту акаунтів ця атака практично не релевантна.
uTrust FIDO2 NFC Security Key також використовує Infineon SLE 78. Аналогічних оголошень від Identiv/Hirsch щодо цього чіпу в контексті EUCLEAK не було. Якщо це критично для вашого сценарію - перевіряйте актуальні бюлетені на hirschsecure.com.
Технічні характеристики
| Параметр | Значення |
|---|---|
| Виробник | Identiv / Hirsch Secure |
| Модель | uTrust FIDO2 NFC Security Key |
| Part Number | 905601 (USB-A), 905602 (USB-C) |
| Роз’єми | USB-A + NFC (або USB-C + NFC) |
| Протоколи | FIDO2 (CTAP1, CTAP2), FIDO U2F, OATH-HOTP, OATH-TOTP |
| НЕ підтримує | PIV, OpenPGP, Yubico OTP |
| Чіп | Infineon SLE 78 |
| Прошивка | 3.30 |
| Сумісні ОС | Windows 10+, macOS, Linux, ChromeOS, Android |
| iOS | через NFC (iPhone 7+, iOS 16.3+) |
| Розміри (USB-A) | 48 × 18 × 4 мм |
| Вага | 3 г |
| Індикатор | Amber LED |
| Сертифікати | FIDO2 Level 1, CE, FCC |
| Виробництво | США (TAA compliant) |
| Температура роботи | 0°C до 40°C |
Документація та ресурси
- Офіційна сторінка продукту (Hirsch): hirschsecure.com
- Онлайн магазин (Hirsch): shop.hirschsecure.com
- uTrust Key Manager: Завантажити з Hirsch
- Технічний мануал: PDF
- Сертифікація FIDO Alliance: fidoalliance.org
Схожі моделі в каталозі
- uTrust NFC USB-A - саме ця модель, USB-A варіант
- uTrust NFC USB-C - та сама модель з USB-C, для MacBook і сучасних ноутбуків
- Security Key NFC - Yubico аналог без HOTP/TOTP, але з зручнішою кнопкою і більш відомим брендом
- YubiKey 5 NFC - якщо потрібен PIV, OpenPGP або Yubico Authenticator
Якщо не впевнені який ключ підійде під ваш сценарій - напишіть у WhatsApp. Підберемо конкретно під сервіси які ви використовуєте.
