Modele YubiKey
Linia produktowa: przegląd wariantów
YubiKey jest sprzedawany w kilku wariantach różniących się portami fizycznymi, NFC i obecnością czytnika linii papilarnych. Modele w linii YubiKey 5 bazują na tym samym chipie: różnice są mechaniczne i firmware'owe, nie kryptograficzne. Security Key i YubiKey Bio mają odmienny zestaw appletów. Poszczególne modele można odróżnić po obudowie i kolorze dysku dotykowego.
| Model | Port | NFC | Bio | Opis |
|---|---|---|---|---|
| YubiKey 5 NFC | USB-A | ✓ | ✗ | Niebieski plastik, złoty dysk z "Y". Najpopularniejszy wariant: desktop + telefon Android |
| YubiKey 5C | USB-C | ✗ | ✗ | Czarny lub niebieski, wąska obudowa. Do nowoczesnych laptopów |
| YubiKey 5C NFC | USB-C | ✓ | ✗ | Jak 5C, dodatkowo NFC. USB-C + NFC, najwszechstronniejszy |
| YubiKey 5 Nano | USB-A | ✗ | ✗ | Miniaturowy, prawie nie wystaje. Do stałej instalacji w porcie |
| YubiKey 5C Nano | USB-C | ✗ | ✗ | Miniaturowy USB-C. Do stałej instalacji w laptopie |
| YubiKey 5Ci | USB-C + Lightning | ✗ | ✗ | Dwa złącza w jednym. Dla iPhone'ów i MacBooków |
| Security Key by Yubico | USB-A | ✓ | ✗ | Niebieski plastik, zielony dysk. Tylko FIDO2/U2F (bez GPG, PIV, OATH, OTP) |
| YubiKey Bio | USB-A / USB-C | ✗ | ✓ | Szersza obudowa z sensorem linii papilarnych; odcisk palca zamiast PIN-u (brak OpenPGP, OATH, PIV) |
| YubiKey 4 | USB-A | ✗ | ✗ | Starsze klucze (sprzed 2018), zwykle czarne, bez "5" w nazwie. Legacy: brak FIDO2 |
Możliwości poszczególnych modeli
| Funkcja | YubiKey 4 | YubiKey 5 (5.1) | YubiKey 5 (5.2) | YubiKey 5 (5.4) | YubiKey 5 (5.7) | Security Key |
|---|---|---|---|---|---|---|
| Rok premiery | 2015 | 2018 | 2019 | 2021 | 2024 | 2018 |
SSH przez FIDO2 (ed25519-sk) | ✗ | ✗ | ✓ | ✓ | ✓ | ✓ |
SSH przez GPG (gpg-agent) | ✓ | ✓ | ✓ | ✓ | ✓ | ✗ |
| Resident keys / passkeys | ✗ | ✗ | 25 | 32 | 100 | 25 |
| OpenPGP (GPG) | v2.1 | v3.4 | v3.4 | v3.4 | v3.4 | ✗ |
| ed25519 w GPG | ✗ | ✓ | ✓ | ✓ | ✓ | ✗ |
| ed25519 w PIV | ✗ | ✗ | ✗ | ✗ | ✓ | ✗ |
| PIV (smart card) | ✓ | ✓ | ✓ | ✓ | ✓ | ✗ |
| OATH (TOTP/HOTP) | 32 | 32 | 32 | 32 | 32 | ✗ |
| OTP / Challenge-Response | ✓ | ✓ | ✓ | ✓ | ✓ | ✗ |
| Enterprise Attestation | ✗ | ✗ | ✗ | ✓ | ✓ | zależy |
| FIDO2 PIN complexity | ✗ | ✗ | ✗ | ✗ | ✓ | ✓ |
Instalacja narzędzi: Linux
Wymagane pakiety
| Komponent | Do czego | Pakiet |
|---|---|---|
pcscd | Daemon dla smart card (OpenPGP, PIV) | pcscd pcsc-tools |
ykman | Zarządzanie YubiKey z CLI | yubikey-manager |
libfido2 | Biblioteka FIDO2 + diagnostyka | libfido2-dev libfido2-1 fido2-tools |
| OpenSSH ≥ 8.2 | Obsługa kluczy ed25519-sk | openssh-client |
GnuPG + scdaemon | Smart card daemon dla GPG | gnupg2 scdaemon |
sudo apt update
sudo apt install -y pcscd pcsc-tools yubikey-manager libfido2-dev libfido2-1 fido2-tools openssh-client gnupg2 scdaemon
sudo systemctl enable --now pcscd
Bez reguł udev ykman i fido2-tools nie widzą klucza bez uprawnień roota. Yubico vendor ID to 1050. Po dodaniu reguły wymagane jest ponowne zalogowanie, aby zmiana grupy plugdev weszła w życie.
echo 'ACTION=="add|change", ATTRS{idVendor}=="1050", MODE="0660", GROUP="plugdev"' | sudo tee /etc/udev/rules.d/69-yubikey.rules
sudo udevadm control --reload-rules
sudo udevadm trigger
sudo usermod -aG plugdev "$USER"
Weryfikacja po instalacji
lsusb | grep -i yubico
# Bus 001 Device 007: ID 1050:0407 Yubico.com Yubikey 4/5 OTP+U2F+CCID
systemctl status pcscd
# ● pcscd.service - PC/SC Smart Card Daemon
# Loaded: loaded (/usr/lib/systemd/system/pcscd.service; indirect; preset: enabled)
# Active: active (running) since Fri 2026-05-08 14:11:16 UTC; 48s ago
sudo ykman info
# Device type: YubiKey 5 NFC
# Serial number: 14308958
# Firmware version: 5.2.7
# Form factor: Keychain (USB-A)
# Enabled USB interfaces: OTP, FIDO, CCID
# ...
# sprawdzamy czy FIDO2 widzi klucz
fido2-token -L
# /dev/hidraw1: vendor=0x1050, product=0x0407 (Yubico YubiKey OTP+FIDO+CCID)
# sprawdzamy czy GPG widzi kartę (potrzebne tylko jeśli używasz GPG)
sudo gpg --card-status
# gpg: directory '/root/.gnupg' created
# gpg: keybox '/root/.gnupg/pubring.kbx' created
# Reader ...........: 1050:0407:X:0
# Application ID ...: D2760001240100000006143089580000
# Application type .: OpenPGP
# Version ..........: 3.4
# Manufacturer .....: Yubico
# ...
Częstym problemem na Ubuntu jest komunikat WARNING: PC/SC not available. Smart card (CCID) protocols will not function. podczas uruchamiania ykman bez sudo.
$ ykman info
# WARNING: PC/SC not available. Smart card (CCID) protocols will not function.
# Device type: YubiKey 5C
# ...
$ sudo ykman info
# Device type: YubiKey 5C
# ...
Aplety OpenPGP i PIV są niewidoczne bez sudo, ponieważ socket pcscd (/run/pcscd/pcscd.comm) jest dostępny tylko dla roota i grupy scard (lub pcscd na niektórych dystrybucjach). Diagnoza:
ls -la /run/pcscd/pcscd.comm
# srw-rw-rw- 1 root root 0 May 5 19:51 /run/pcscd/pcscd.comm
stat -c '%G' /run/pcscd/pcscd.comm
# scard
Quick fix
Doraźne rozwiązanie: poluzowanie uprawnień socketa (do najbliższego restartu):
sudo chmod a+rw /run/pcscd/pcscd.comm
sudo chmod a+rx /run/pcscd/
Alternatywnie: alias na sudo ykman w ~/.bashrc. Rozwiązanie działa wszędzie, lecz każde wywołanie wymaga podania hasła sudo:
echo "alias ykman='sudo ykman'" >> ~/.bashrc
source ~/.bashrc
Sam SSH nie potrzebuje pcscd w codziennym użyciu. ykman jest narzędziem do konfiguracji: używa się go raz przy wstępnym setupie, a następnie rzadko. Połączenia SSH przechodzą przez libfido2 lub scdaemon i mają osobny dostęp do urządzenia, niezależny od pcscd.
Co dalej
Na tym etapie środowisko jest gotowe: pcscd uruchomiony, ykman widzi klucz, warstwy FIDO2 i smart card odpowiadają poprawnie. Kolejny post obejmie podstawowe operacje na kluczu z poziomu ykman (info, lista appletów, włączanie i wyłączanie funkcji), reset per-applet, ustawienie PIN-ów oraz analogiczny setup na Windowsie.