YubiKey 4クローズドソースの懸念
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2021/05/08 14:12 UTC 版)
「YubiKey」の記事における「YubiKey 4クローズドソースの懸念」の解説
曖昧さによるセキュリティ(英語版)の例として、Yubikey上で実行されるコードのほとんどがクローズドソースであることが挙げられる。YubicoはPGPやHMACベースワンタイムパスワード(英語版)(HOTP)のような業界標準機能のコードをリリースしたが、それは製品の第4世代の時点で、これは新しいユニットに付属しているコードと同じではないことが明らかになった。新しいユニットは工場で恒久的にファームウェアロックされているため、オープンソースコードをコンパイルして手動でデバイスにロードすることはできない。 U2F(英語版)、PIV、Modhexなどの他の機能のコードは完全にクローズドソースである。 2016年5月16日、YubicoのCTOであるJakob Ehrensvärd氏は、オープンソースコミュニティの懸念に対して、「私たちは製品会社として、既製品のコンポーネントに基づく実装に対して明確な立場を取っており、商用グレードのAVRやARMコントローラのようなものはセキュリティ製品に使用するには適さないと考えている。」というブログ記事で回答した。 Techdirtの創設者であるMike Masnick氏はこの決定に対し、「暗号化は厄介なものである。ほとんどの場合、脆弱性やバグがある。これは最近多くのことを指摘している。しかし、それらを修正する最善の方法は、多くの知識のある人にコードを見てもらうことである。クローズドソースではそれは不可能である。」と強く批判した。
※この「YubiKey 4クローズドソースの懸念」の解説は、「YubiKey」の解説の一部です。
「YubiKey 4クローズドソースの懸念」を含む「YubiKey」の記事については、「YubiKey」の概要を参照ください。
- YubiKey 4クローズドソースの懸念のページへのリンク