Security Key з прошивкою 5.4.3 - чи варто купувати?
Прошивка 5.4.3 на Security Key - розбираємо що працює, де реальні обмеження якщо порівнювати з прошивкою 5.7.
Чому виникає питання про прошивку
Ви обираєте Security Key від Yubico, бачите в характеристиках «Firmware 5.4.3» і починаєте гуглити. Актуальна прошивка - 5.7. На сайті Yubico є security advisory. Форуми пишуть про вразливість, яку не можна пропатчити.
Логічне запитання: чи не купуєте ви застарілий пристрій з відомими дірками?
Коротка відповідь: для базового захисту акаунтів через FIDO2/U2F - прошивка 5.4.3 працює і захищає. Але є нюанси, про які варто знати до покупки.
Що таке прошивка на YubiKey і чому вона не оновлюється
Прошивка на Security Key і YubiKey не оновлюється. Це не баг і не економія - це архітектурне рішення Yubico для безпеки.
Логіка така: якщо прошивку можна змінити після виробництва, то зловмисник з фізичним доступом теоретично може записати модифіковану версію. Заборона запису виключає цей вектор атаки повністю. Версія прошивки фіксується на заводі і залишається незмінною протягом усього терміну служби ключа.
Це означає дві речі одночасно: ваш ключ ніхто не зможе перепрошити шкідливим кодом, але й виправити виявлені проблеми теж не вдасться. Yubico виправляє знайдені вразливості в нових партіях ключів з оновленою прошивкою.
Що працює на прошивці 5.4.3
Security Key NFC з прошивкою 5.4.3 підтримує FIDO2, WebAuthn і FIDO U2F. Це означає:
- Двофакторна автентифікація в Google, Microsoft, GitHub, GitLab, Dropbox, Facebook, X і сотнях інших сервісів
- Вхід без пароля (passkeys) на сервісах, що підтримують FIDO2
- Захист від фішингу - ключ перевіряє домен сервісу автоматично, підроблений сайт не пройде
- Робота через USB-A і NFC (на Security Key NFC) або USB-C і NFC (на Security Key C NFC)
- Сумісність з Windows, macOS, Linux, Android та iOS (iPhone 7+ через NFC)
- Захист акаунтів у Delta, Binance, Coinbase, Kraken, Microsoft Entra ID, Okta
Для сценарію «захистити акаунти апаратним ключем замість SMS-кодів» - прошивка 5.4.3 повністю функціональна.
Що додали у прошивці 5.7
Прошивка 5.7 вийшла у травні 2024 року. Ключові зміни для Security Key серії:
| Характеристика | Прошивка 5.4.3 | Прошивка 5.7+ |
|---|---|---|
| FIDO2 / WebAuthn / U2F | ✅ | ✅ |
| Discoverable credentials (passkeys) | До 25 | До 100 |
| Криптографічна бібліотека | Infineon | Власна Yubico |
| CTAP версія | 2.0 | 2.1 |
| Алгоритми | ECC P-256, P-384, RSA 2048/4096 | + Ed25519, X25519 |
| Enterprise Attestation | ❌ | ✅ |
| Force PIN Change | ❌ | ✅ |
| Restricted NFC (захист при транспортуванні) | ❌ | ✅ |
| Вразливість EUCLEAK | Присутня | Виправлена |
Для Security Key серії (яка підтримує тільки FIDO2/U2F) більшість нових функцій - це збільшення сховища passkeys, перехід на власну криптобібліотеку Yubico та підтримка CTAP 2.1.
Функції на кшталт OTP, PIV, OpenPGP, OATH не стосуються Security Key серії ні в 5.4.3, ні в 5.7 - вони доступні тільки в серії YubiKey 5 NFC.
Вразливість EUCLEAK - що це і чи варто хвилюватись
У вересні 2024 року дослідники NinjaLab опублікували інформацію про вразливість EUCLEAK (CVE-2024-45678) у криптографічній бібліотеці Infineon, яку використовують ключі з прошивкою до 5.7.
Що конкретно відбувається: через side-channel атаку (аналіз електромагнітного випромінювання під час криптографічних операцій) теоретично можна відтворити приватний ECDSA-ключ і створити клон пристрою для конкретного акаунту.
Що потрібно для експлуатації:
- Фізичний доступ до вашого ключа на кілька хвилин
- Спеціалізоване обладнання для електромагнітного аналізу
- Знання облікових даних цільового акаунту (логін, пароль)
- Технічна кваліфікація для проведення атаки
Сам дослідник Тома Роше з NinjaLab зазначив, що ця атака є «state-agency grade» - рівня спецслужб. Вона спрямована на конкретних людей і потребує значних зусиль для кожної окремої цілі. Yubico оцінив серйозність як помірну (CVSS 4.9).
Практична оцінка для більшості користувачів: якщо ви захищаєте особистий Google-акаунт, GitHub або крипто-біржу - вірогідність атаки EUCLEAK проти вас близька до нуля. Вас значно більше захищає сам факт використання апаратного ключа замість SMS-кодів, ніж загрожує ця теоретична вразливість.
Коли це може бути релевантним: якщо ви працюєте з державними системами високого рівня секретності, обробляєте критичну інфраструктуру або є потенційною ціллю спецслужб - тоді варто обрати ключ з прошивкою 5.7+ і дотримуватись суворого контролю фізичного доступу до ключа.
Інші відомі advisory для прошивки 5.4.3
Окрім EUCLEAK, Yubico публікував ще два advisory, які стосуються прошивки 5.4.3:
YSA-2024-02 (низький рівень, CVSS 3.3) - при фізичному доступі або локальному доступі до системи зловмисник може побачити список сервісів, для яких зареєстровані discoverable credentials на ключі. Самі облікові дані не розкриваються - тільки перелік сервісів. Виправлено в 5.7.0.
YSA-2025-02 (низький рівень) - технічна помилка в реалізації CTAP PIN/UV Auth Protocol Two, де використовується довжина підпису з Protocol One. Стосується версій 5.4.1–5.7.3, виправлено в 5.7.4. Складна для експлуатації через додаткові захисти в протоколі.
Жодна з цих вразливостей не дозволяє віддалену атаку. Усі потребують або фізичного доступу до ключа, або локального доступу до комп’ютера, до якого підключений ключ.
Коли прошивки 5.4.3 достатньо
Версія 5.4.3 підходить, якщо:
- Ви використовуєте ключ як другий фактор для Google, Microsoft, GitHub, Delta, крипто-бірж
- Вам потрібно до 25 passkeys (discoverable credentials) - цього вистачає для 3–10 основних сервісів
- Ви не є потенційною ціллю для атак рівня спецслужб
- Ви хочете отримати апаратний захист за меншу ціну
Коли варто обрати свіжу прошивку
Доплатити за прошивку 5.7+ має сенс, якщо:
- Ви плануєте реєструвати більше 25 passkeys на одному ключі
- Вам потрібна підтримка CTAP 2.1 (Force PIN Change, Minimum PIN Length) - актуально для корпоративних розгортань
- Ви працюєте в середовищі з підвищеними вимогами до безпеки і хочете виключити навіть теоретичні ризики EUCLEAK
- Вам потрібна Enterprise Attestation для корпоративного обліку ключів
Документація та ресурси
- Yubico Security Advisory YSA-2024-03 (EUCLEAK): https://www.yubico.com/support/security-advisories/ysa-2024-03/
- Yubico Security Advisory YSA-2024-02: https://www.yubico.com/support/security-advisories/ysa-2024-02/
- Yubico Security Advisory YSA-2025-02: https://www.yubico.com/support/security-advisories/ysa-2025-02/
- NinjaLab EUCLEAK дослідження: https://ninjalab.io/eucleak/
- Yubico firmware 5.7 release notes: https://www.yubico.com/blog/now-available-for-purchase-yubikey-5-series-and-security-key-series-with-new-5-7-firmware/
Що обрати
Якщо прошивка 5.4.3 вас влаштовує - Security Key NFC (USB-A) або Security Key C NFC (USB-C) доступні за більш доступною ціною. Це повноцінні ключі Yubico з FIDO2/U2F, які захистять акаунти від фішингу і перехоплення SMS.
Якщо хочете свіжу прошивку - Security Key NFC v2 вже в каталозі з прошивкою 5.7+, збільшеним сховищем passkeys і власною криптографічною бібліотекою Yubico.
Якщо потрібен повний протокольний стек (OTP, PIV, OpenPGP, Yubico Authenticator) - жодна Security Key серія це не підтримує, незалежно від прошивки.
Обирайте YubiKey 5 NFC.
Не впевнені що обрати - напишіть у WhatsApp, підберемо ключ під ваш сценарій.
