Modele YubiKey
Linia produktowa — co kupisz i jak to wygląda
YubiKey jest sprzedawany w kilku wariantach różniących się portami fizycznymi, NFC i obecnością czytnika linii papilarnych. Wszystkie aktualne modele bazują na tym samym chipie — różnice są mechaniczne i firmware'owe, nie kryptograficzne. Dzięki temu klucz rozpoznasz na pierwszy rzut oka po obudowie i kolorze dysku dotykowego.
| Model | Port | NFC | Bio | Opis |
|---|---|---|---|---|
| YubiKey 5 NFC | USB-A | ✓ | ✗ | Niebieski plastik, złoty dysk z "Y". Najpopularniejszy — desktop + telefon Android |
| YubiKey 5C | USB-C | ✗ | ✗ | Czarny lub niebieski, wąska obudowa. Do nowoczesnych laptopów |
| YubiKey 5C NFC | USB-C | ✓ | ✗ | Jak 5C, dodatkowo NFC. USB-C + NFC, najwszechstronniejszy |
| YubiKey 5 Nano | USB-A | ✗ | ✗ | Miniaturowy, prawie nie wystaje. Do stałej instalacji w porcie |
| YubiKey 5C Nano | USB-C | ✗ | ✗ | Miniaturowy USB-C. Do stałej instalacji w laptopie |
| YubiKey 5Ci | USB-C + Lightning | ✗ | ✗ | Dwa złącza w jednym. Dla iPhone'ów i MacBooków |
| Security Key by Yubico | USB-A | ✓ | ✗ | Niebieski plastik, zielony dysk. Tylko FIDO2/U2F (bez GPG, PIV, OATH, OTP) |
| YubiKey Bio | USB-A / USB-C | ✗ | ✓ | Szersza obudowa z sensorem linii papilarnych — odcisk palca zamiast PIN-u (brak OpenPGP/OATH) |
| YubiKey 4 | USB-A | ✗ | ✗ | Starsze klucze (sprzed 2018), zwykle czarne, bez "5" w nazwie. Legacy — bez FIDO2 |
Możliwości poszczególnych modeli
| Funkcja | YubiKey 4 | YubiKey 5 (5.1) | YubiKey 5 (5.2) | YubiKey 5 (5.4) | YubiKey 5 (5.7) | Security Key |
|---|---|---|---|---|---|---|
| Rok premiery | 2015 | 2018 | 2019 | 2021 | 2024 | 2018 |
SSH przez FIDO2 (ed25519-sk) | ✗ | ✗ | ✓ | ✓ | ✓ | ✓ |
SSH przez GPG (gpg-agent) | ✓ | ✓ | ✓ | ✓ | ✓ | ✗ |
| Resident keys / passkeys | ✗ | ✗ | 25 | 32 | 100 | 25 |
| OpenPGP (GPG) | v2.1 | v3.4 | v3.4 | v3.4 | v3.4 | ✗ |
| ed25519 w GPG | ✗ | ✓ | ✓ | ✓ | ✓ | ✗ |
| ed25519 w PIV | ✗ | ✗ | ✗ | ✗ | ✓ | ✗ |
| PIV (smart card) | ✓ | ✓ | ✓ | ✓ | ✓ | ✗ |
| OATH (TOTP/HOTP) | 32 | 32 | 32 | 32 | 32 | ✗ |
| OTP / Challenge-Response | ✓ | ✓ | ✓ | ✓ | ✓ | ✗ |
| Enterprise Attestation | ✗ | ✗ | ✗ | ✓ | ✓ | zależy |
| FIDO2 PIN complexity | ✗ | ✗ | ✗ | ✗ | ✓ | ✓ |
Instalacja narzędzi — Linux
Wymagane pakiety
| Komponent | Do czego | Pakiet |
|---|---|---|
pcscd | Daemon dla smart card (OpenPGP, PIV) | pcscd pcsc-tools |
ykman | Zarządzanie YubiKey z CLI | yubikey-manager |
libfido2 | Biblioteka FIDO2 + diagnostyka | libfido2-dev libfido2-1 fido2-tools |
| OpenSSH ≥ 8.2 | Obsługa kluczy ed25519-sk | openssh-client |
GnuPG + scdaemon | Smart card daemon dla GPG | gnupg2 scdaemon |
sudo apt update
sudo apt install -y pcscd pcsc-tools yubikey-manager libfido2-dev libfido2-1 fido2-tools openssh-client gnupg2 scdaemon
sudo systemctl enable --now pcscd
Bez reguł udev ykman i fido2-tools mogą nie widzieć klucza bez roota. Yubico vendor ID to 1050. Wyloguj się i zaloguj ponownie
echo 'ACTION=="add|change", ATTRS{idVendor}=="1050", MODE="0660", GROUP="plugdev"' | sudo tee /etc/udev/rules.d/69-yubikey.rules
sudo udevadm control --reload-rules
sudo udevadm trigger
sudo usermod -aG plugdev "$USER"
Weryfikacja po instalacji
lsusb | grep -i yubico
# Bus 001 Device 007: ID 1050:0407 Yubico.com Yubikey 4/5 OTP+U2F+CCID
systemctl status pcscd
# ● pcscd.service - PC/SC Smart Card Daemon
# Loaded: loaded (/usr/lib/systemd/system/pcscd.service; indirect; preset: enabled)
# Active: active (running) since Fri 2026-05-08 14:11:16 UTC; 48s ago
sudo ykman info
# Device type: YubiKey 5 NFC
# Serial number: 14308958
# Firmware version: 5.2.7
# Form factor: Keychain (USB-A)
# Enabled USB interfaces: OTP, FIDO, CCID
# ...
# sprawdzamy czy FIDO2 widzi klucz
fido2-token -L
# /dev/hidraw1: vendor=0x1050, product=0x0407 (Yubico YubiKey OTP+FIDO+CCID)
# sprawdzamy czy GPG widzi kartę (potrzebne tylko jeśli używasz GPG)
sudo gpg --card-status
# gpg: directory '/root/.gnupg' created
# gpg: keybox '/root/.gnupg/pubring.kbx' created
# Reader ...........: 1050:0407:X:0
# Application ID ...: D2760001240100000006143089580000
# Application type .: OpenPGP
# Version ..........: 3.4
# Manufacturer .....: Yubico
# ...
Częstym błedem na Ubuntu jest sytuacja gdzie dostajemy taki komunikat WARNING: PC/SC not available. Smart card (CCID) protocols will not function., jeśli uruchamiamy ykman bez sudo.
$ ykman info
# WARNING: PC/SC not available. Smart card (CCID) protocols will not function.
# Device type: YubiKey 5C
# ...
$ sudo ykman info
# Device type: YubiKey 5C
# ...
Aplet OpenPGP i PIV są niewidoczne — dopóki nie uruchomisz pod sudo, ponieważ socket pcscd (/run/pcscd/pcscd.comm) jest dostępny tylko dla roota i grupy scard (lub pcscd na niektórych dystrybucjach). Diagnoza:
ls -la /run/pcscd/pcscd.comm
# srw-rw-rw- 1 root root 0 May 5 19:51 /run/pcscd/pcscd.comm
stat -c '%G' /run/pcscd/pcscd.comm
# scard
Quick fix
Doraźnie poluzuj uprawnienia socketa (do najbliższego restartu):
sudo chmod a+rw /run/pcscd/pcscd.comm
sudo chmod a+rx /run/pcscd/
Albo po prostu alias na sudo ykman w ~/.bashrc — szybkie i działa wszędzie, ale każde wywołanie wymaga hasła sudo:
echo "alias ykman='sudo ykman'" >> ~/.bashrc
source ~/.bashrc
Sam SSH nie potrzebuje pcscd w codziennym użyciu. ykman to narzędzie do konfiguracji — używasz go raz przy setupie, potem rzadko. Połączenia SSH idą przez libfido2 lub scdaemon i mają osobny dostęp do urządzenia, niezależny od pcscd.
Co dalej
Mamy działające środowisko: pcscd uruchomiony, ykman widzi klucz, FIDO2 i smart-card warstwy odpowiadają. W kolejnym poście pokażę podstawowe operacje na kluczu z poziomu ykman (info, lista appletów, włączanie/wyłączanie funkcji), reset per-applet, ustawienie PIN-ów oraz analogiczny setup na Windowsie.