深色模式
术语表
本术语表按字母顺序排列,收录了 YuerKey 相关文档中出现的技术术语。每个术语在首次出现时给出英文原文,并用通俗的语言解释其含义。
AEAD
Authenticated Encryption with Associated Data,带关联数据的认证加密。一种同时提供加密(保密性)和完整性验证(防篡改)的加密方式——加密数据的同时,还能检测数据是否被人动过手脚。YuerKey 使用 AES-256-GCM 作为 AEAD 方案。
AES
Advanced Encryption Standard,高级加密标准。目前全球最广泛使用的对称加密算法,由美国国家标准与技术研究院(NIST)选定。"对称"意味着加密和解密使用同一把密钥。YuerKey 使用 AES-256(256 位密钥长度)加密密码库和用户数据,这是目前公认的最高安全等级。
Argon2id
一种专为密码哈希设计的算法。与普通哈希不同,Argon2id 故意消耗大量内存和 CPU 时间,让暴力破解变得极其缓慢和昂贵——即使攻击者拥有专用的破解硬件,逐一尝试所有可能的密码组合也需要不切实际的时间。YuerKey 用它保护设备的 PIN 码。
BLE
Bluetooth Low Energy,蓝牙低功耗。一种专为低功耗短距离通信设计的蓝牙技术,相比经典蓝牙耗电量极低。YuerKey App(手机管理应用)通过 BLE 与设备通信,用于配置管理、OTP 查看等操作。
CBOR
Concise Binary Object Representation,简洁二进制对象表示法。一种紧凑的二进制数据格式,可以理解为"二进制版的 JSON"——能表达同样的数据结构,但体积更小、解析更快,非常适合资源受限的嵌入式设备。FIDO2 的 CTAP2 协议和 YuerKey 的 YSMP 协议都使用 CBOR 编码消息。
CCID
Chip Card Interface Device,芯片卡接口设备。USB 智能卡读卡器的通信协议标准。YuerKey 通过 CCID 协议与电脑上的 GnuPG、PIV 中间件等软件通信。操作系统原生支持 CCID,通常不需要安装额外驱动。
CTAP
Client to Authenticator Protocol,客户端到认证器协议。定义了浏览器(或操作系统)与安全密钥之间如何通信。CTAP2 是 FIDO2 标准的设备端协议,CTAP1 则是早期 U2F 标准使用的协议版本。
ECDSA
Elliptic Curve Digital Signature Algorithm,椭圆曲线数字签名算法。一种基于椭圆曲线数学的数字签名算法,与传统的 RSA 相比,能用更短的密钥达到同等的安全强度,运算速度也更快。YuerKey 在 FIDO2 和 OpenPGP 中广泛使用 ECDSA。
FIDO2
Fast IDentity Online 2,快速在线身份认证第 2 版。由 FIDO 联盟制定的开放无密码认证标准。FIDO2 包含两个组成部分:浏览器端的 WebAuthn API 和设备端的 CTAP2 协议。Google、Apple、Microsoft 等主流平台均已支持 FIDO2。
GnuPG / GPG
GNU Privacy Guard,GNU 隐私卫士。OpenPGP 标准最著名的开源实现,用于加密文件、签名邮件、管理密钥等。当人们提到"PGP 密钥"或"GPG 密钥"时,通常指的是同一个东西。YuerKey 的 OpenPGP 智能卡功能与 GnuPG 完全兼容。
HMAC
Hash-based Message Authentication Code,基于哈希的消息认证码。一种结合了密钥和哈希函数的技术,用于同时验证数据的完整性(没被篡改)和真实性(来自持有密钥的一方)。TOTP 动态口令的生成就是基于 HMAC 算法。
HSM
Hardware Security Module,硬件安全模块。一种专门用于保护和管理密码学密钥的硬件设备。传统 HSM 是昂贵的数据中心设备,YuerKey 通过实现 SmartCard-HSM 协议,将核心的密钥管理能力带到了便携设备中。
KDF
Key Derivation Function,密钥派生函数。从一个初始密钥或密码安全地生成一个或多个新密钥的算法。好比用一个"种子"培育出多棵"树"——每棵树都不同,但都可以追溯到同一个种子。YuerKey 使用 KDF 从根密钥派生出各种用途的工作密钥。
mTLS
Mutual TLS,双向 TLS 认证。普通的 HTTPS 只验证服务器身份(你确认网站是真的),mTLS 则要求双方互相验证——服务器也要确认客户端的身份。YuerKey 的 OTA 固件更新使用 mTLS,确保设备只从可信的官方服务器下载固件,服务器也只向合法的 YuerKey 设备提供更新。
OTA
Over-The-Air,空中升级。通过 WiFi 网络远程更新设备固件的技术,无需用 USB 数据线连接电脑。YuerKey 的 OTA 更新受安全启动和 mTLS 双重保护,确保只安装经过官方签名的合法固件。
OTP
One-Time Password,一次性密码。每次使用都会变化的密码,用过即失效。包括 TOTP(基于时间,每 30 秒变化)和 HOTP(基于计数器,每次按键变化)两种主要类型。
Passkey
基于 FIDO2 技术的无密码登录凭据。存储在安全密钥或手机中,使用时通过 PIN 或生物识别(指纹、面容)解锁。Passkey 被认为是密码的终极替代方案——不需要记忆,不会泄露,天然防钓鱼。
PIV
Personal Identity Verification,个人身份验证。由美国国家标准与技术研究院(NIST)定义的智能卡身份认证标准(NIST SP 800-73-4)。广泛用于 Windows 智能卡登录、VPN 认证、文档签名等企业场景。
PKCS#15
一种密码学令牌的信息语法标准,定义了智能卡或安全设备上如何组织和存储密钥、证书、数据对象等。可以理解为"密钥的文件系统格式"——规定了密钥怎么放、证书怎么存、权限怎么设。
RSA
以三位发明者 Rivest、Shamir、Adleman 命名的公钥密码算法。RSA 历史悠久(1977 年发明),是最早被广泛使用的公钥加密算法。与椭圆曲线算法相比密钥较大,但兼容性极广。YuerKey 支持 RSA-2048、RSA-3072 和 RSA-4096 三种密钥长度。
U2F
Universal 2nd Factor,通用第二因素。FIDO 联盟制定的第一代安全密钥标准。U2F 仅支持两步验证(不支持无密码登录),现已被更强大的 FIDO2 标准取代,但许多旧服务仍在使用 U2F,YuerKey 保持完全兼容。
WebAuthn
Web Authentication API,Web 认证应用程序接口。由 W3C(万维网联盟)制定的标准,让浏览器可以通过 JavaScript API 调用安全密钥进行身份认证。WebAuthn 是 FIDO2 标准的浏览器端组件,所有主流浏览器(Chrome、Firefox、Safari、Edge)均已支持。
YSMP
YuerKey Sync and Management Protocol,YuerKey 同步与管理协议。YuerKey 自有的设备通信协议,用于手机 App 与设备之间的安全通信。YSMP 使用 CBOR 编码消息、ECDSA 签名验证身份、AES-GCM 加密保护数据传输,确保管理操作的安全性。