In che modo YubiKey protegge la sua chiave segreta?

If it is plugged into an infected computer, wouldn't the secret key be compromised?

La yubikey memorizza la chiave sul suo supporto di memorizzazione interno - il meccanismo esatto varia a seconda del tipo di chiave. Quando yubikey è collegato a un computer, viene riconosciuto come una tastiera USB. Premendo il solo pulsante sullo yubikey si invierà una stringa di caratteri contenente la propria password monouso, proprio come se fossero stati digitati tramite una tastiera USB. Il produttore assicura che la chiave segreta utilizzata per generare password monouso non può mai essere letta dal dispositivo, indipendentemente dal software installato sul computer in cui è stato inserito.

Also, is it possible for a computer virus to "infect" a YubiKey?

Tutto è possibile, ma sarebbe molto difficile considerando la funzionalità limitata di un yubikey.

Attualmente, YubiKey può essere configurato dall'utente durante la configurazione in modo che sia protetto da scrittura. Questo è il motivo per cui il dispositivo non può essere compromesso da una sorta di script dannoso che viene caricato su di esso, ma anche per impedire l'integrità della chiave compromessa. Anche se, se qualcuno ha il dispositivo fisico, in realtà non è necessario andare oltre nel compromettere il dispositivo, almeno nel senso dell'autenticazione statica del dispositivo, dal momento che si dispone del dispositivo stesso.

In breve, lo YubiKey ha misure per impedire il caricamento del codice malizioso sul dispositivo. Ma questo deve essere impostato dall'utente durante la configurazione iniziale dei tasti memorizzati sul dispositivo. Se qualcuno dovesse afferrare lo YubiKey prima che l'utente lo imposti, allora in teoria, sì, potrebbe essere compromesso.