OpenPGP实现的YubiKey 4开源吗？

Question

虽然YubiKey的早期版本(如Neo和Neo)使用开源Java小程序来处理OpenPGP签名、加密和身份验证，但从yubico网站/文档中还不清楚这是否也适用于较新的YubiKey 4。

Answer 1

不，Yubikey 4是非开源：

实现不是开源的，这是正确的。我们对代码进行了内部和外部审查，以确保代码是安全的。重要的是要记住，当您链接到的bug很好地演示时，开源代码并不能保证检测到bug/漏洞。该漏洞是从上游项目继承而来的，而该项目是所基于的，并且没有被源代码的任何审计所检测到。正是与设备本身的相互作用，才导致了它的发现。我们都支持开放源码，我们试图尽可能多地开放源代码，在任何时候和任何地方都是有意义的，但在这种情况下，我们决定不开放源代码。原因之一是，在YubiKey近地天体上，每个小程序都运行在自己的沙箱中，与系统的其他部分隔离开来，并且可以单独进行审计/推理。在YubiKey 4中，情况并非如此，系统的每个部分都与其他几个部分交互。ykneo作为开源项目(除了能够利用现有项目)实现的另一个原因是，它对其他人很有用，因为它可以在多种设备上运行。同样，在YubiKey 4上运行的实现也不是这样。

虽然较老的设备，如Yubikey近地天体使用了开放源码小程序，但较新的Yubikey 4设备悄悄地切换到一个专有的、封闭的源代码实现。