14.07.2017 07:37
ElderMan 20 10800 Источник

Часть 2: Покупка и доставка Yubikey 4





Итак, определившись с выбором ключа для 2FA, я начал поиски продавца для покупки Yubikey 4.

Первым делом был обследован русскоязычный сегмент интернета. Оказалось, что существуют две организации, которые вроде бы занимаются реализацией продукции Yubico.

В первую очередь — это сайт yubico.ru. В настоящее время он не работает. (Хинт — работает прямая ссылка на файл в формате PDF «yubikey_manual.pdf» — на русском языке, кому нужно). Но в тот момент, когда я делал анализ и выбор продавца ключа, этот сайт ещё функционировал. Тем не менее, даже тогда я обратил внимание на странную вещь — на сайте для продажи не были представлены современные устройства — например, интересный мне ключ Yubikey 4. Также в описании к существующим продуктам были указаны старые версии ПО. Более того, сайт, предлагающий продукт, обеспечивающий цифровую безопасность, был на простом http. И ещё более того. Когда я поинтересовался в почтовой переписке о возможности купить ключ, ответ мне пришёл с почтового домена mail.ru.

Можно было сделать предположение, что новых устройств продавец не предлагает. Предположение оказалось верным, сайт работу по факту прекратил.

Вторая организация, которая предлагала продажу Yubikey была ещё более странной. Она называется >the_kernel. Интернет магазина я не нашёл, предлагалось отправить заявку через форму на сайте. С одной стороны, цены указаны такие же как и у производителя, но отсутствие возможности сделать заказ, оплатить и ждать доставку меня немного удивило. Для XXI века это — мягко говоря — странность. Специально для тех, кто не любит ходить по ссылкам, живёт в первопрестольной и хочет иметь Yubikey, даю контактную информацию с сайта. Возможно, данные ещё актуальны. Вот они:

121357, г. Москва, ул. Верейская, д. 29, стр. 33, офис D216.2 (БЦ Верейская Плаза 3) Тел. +7 499 648-8848 Email info [dot] ru [at] thekernel [dot] com Web www.thekernel.ru

Вот здесь, на Тостере также есть небольшая ветка по вопросам приобретения устройств Yubico.

Один из участников обсуждения (@Driwars) упомянул о том, что таможня не пропустила до адресата купленный на Амазоне ключ. Имейте это ввиду.

Так, в РФ ситуация с продажей в розницу ключей Yubikey более менее ясна. Что же может предложить нам западный (для кого-то — восточный) рынок?

Как правило, наиболее низкую цену может предложить сам производитель, поэтому будет разумно поискать возможность покупки товара напрямую у Yubico. Однако, учитывая стоимость доставки, которая может составлять существенную величину в общей стоимости товара, имеет смысл посмотреть и у других игроков рынка, например — Амазон.

Приступим.

Вопрос — занимается ли компания Yubico непосредственно продажами устройств? Ответ — да, занимается. Открывая заглавную страницу сайта www.yubico.com мы видим вверху кнопку «BUY NOW», и при нажатии на неё переходим сразу к возможности купить товар. Это уже хорошо! Кроме того, обращаем внимание на то, что при покупке есть возможность оформить дисконт — для пользователей GitHub и для учащихся. Насколько можно видеть, скидка одинаковая и составляет 20%, а это уже весьма и весьма неплохо!

Переходим к процедуре оплаты, но перед этим смотрим на доставку (Shipping). И тут — раз — и видим такую фразу:

*no shipping to: Afghanistan, North Korea, Iran, Russia, Sudan, Syria


Вот это да! Как неожиданно! Россия между Ираном и Суданом, в приятном соседстве с Северной Кореей и Сирией… Для контраста можете полистать список стран, где можно приобрести и получить устройство с доставкой от Yubico.

Так, какие же могут быть варианты? Для России — на оффсайте указан >the_kernel. Можете попробовать связаться с представителями этой ТНК.

А что с Амазоном? Давайте посмотрим поближе.
Находим в поиске Yubikey, меняем справа в поле «Ship to» страну на Russian Federation и видим в поле описания товара и доставки следующее:

This item does not ship to Russian Federation.


Вот так.

Что же делать, если вам всё же хотелось иметь для тестирования либо функционального применения устройство Yubikey?

Вариантов может быть несколько:

1. Если вы имеете возможность по работе или по личной инициативе бывать за границей, едете туда и покупаете там. Либо предварительно оплатив товар и доставку, либо в отпуске, либо через друзей и знакомых.
2. Попросите ваших живущих за границей друзей/родных/коллег/знакомых купить устройство и выслать вам. Условия согласуйте сами.
3. Воспользоваться услугами пересыльщиков. Типа Шопотама и Бандерольки. Полагаю, противозаконного в этом ничего нет.
4. Бартер. Скажем, с индусами. Вы им — код, они вам — ключ.
5. Something else. Insert your own point.

Что до меня? Как я покупал ключ? Я воспользовался пунктом 3, посчитав предварительно все расходы. Итого, в реализации получилось вот так:

стоимость самого ключа Yubikey4: $40
скидка: -$8
доставка на адрес в USA: $5
налог: $2.88
итого — на выходе с Yubico: $39.88

Услуги пересылки: $5.78 (и я считаю это весьма гуманной стоимостью)

Итого, в сумме получается $45.66, что по текущему курсу составляет 2 735,52 рубля.

Успехов!

P.S. Есть новое в линейке продуктов. Появился ключ с интерфейсом USB-C.
Поделиться с друзьями
-->

Комментарии (20)


  1. grayfolk
    14.07.2017 11:33
    #10312436

    *no shipping to: Afghanistan, North Korea, Iran, Russia, Sudan, Syria

    Украину вообще не нашел в дропдауне на yubico.com =/ Казахстан, Кыргызстан, Узбекистан, Белоруссия… Украину — как корова языком…


    1. YourChief
      14.07.2017 20:02
      #10313382

      В Украине можно купить через пересыльщиков с амазона, идёт где-то 2 недели.


  1. nmk2002
    14.07.2017 12:25
    #10312540
    +3

    Слово Yubikey можно заменить на что угодно и статья не потеряет своей ценности.


  1. Kernel_rus
    14.07.2017 12:44
    #10312576
    +4

    Добрый день!
    Я представляю упомянутую в этой статье компанию Кернел.
    Согласен — с маркетингом у нас в России пока слабовато. Будем исправляться ;)
    На складе в Москве у нас есть YubiKey 4, Nano, Neo, 4c.

    Если Вы интересуетесь как физическое лицо, удобные способы оплаты будут через интернет магазин одного из наших партнеров, например, Софтлайна: https://store.softline.ru/yubico/

    Михаил Плахута


    1. tohandr
      14.07.2017 13:38
      #10312716

      Михаил, пытался через softline купитьYubiKey 4 в мае, в течении месяца компания не смогла выполнить заказ. Пришлось требовать с них возврат средств. Иные посредники для физлиц имеются?


      1. Kernel_rus
        14.07.2017 13:48
        #10312748

        Как в любой крупной компании, у них тоже бывают сложности. Надеюсь, что такого больше не повторится.
        Видимо как раз Ваш случай мы с ними и обсуждали.
        Свои контакты скинул Вам в личку.


  1. D3fl4t3
    14.07.2017 12:45
    #10312580

    И всё-таки, в каких случаях могут быть проблемы с таможней?


    1. ElderMan
      14.07.2017 12:50
      #10312588

      Скорее всего, ни в каких. Раз уж продукт продается легально на территории РФ в Софтлайне, проблем на таможне быть не должно.


      1. KernelHQ
        17.07.2017 16:48
        #10315912

        Разве вопро только таможенный? А гарантия? Если ЮбиКей куплен в Амазоне например, то замена должна быт через Амазон. У Кернел замена на месте и в течении года.


    1. Kernel_rus
      14.07.2017 13:52
      #10312760

      С таможней бывает всякое ;)
      Вспомнить хотя бы ситуацию с Xiaomi.
      Но всегда можно купить со склада в Москве с гарантией.


  1. BuriK666
    14.07.2017 12:54
    #10312604

    в SoftLine еще можно купить


    1. Kernel_rus
      14.07.2017 13:39
      #10312720

      А еще в syssoft правда они вроде еще не разместили информацию на сайте. Но если Вы — компания, то можете смело обращаться.

      Московский склад мы пополняем достаточно часто. Единственное, YubiHSM и FIDO U2F Security Key — только под заказ.


  1. Fractalzombie
    14.07.2017 16:00
    #10313056

    Grabr


  1. a1ien_n3t
    14.07.2017 18:46
    #10313310

    Для жителей спб можно заказать на почту в Финляндии до востребования. Я так покупал сам. Доставили за неделю где-то. Тоесть если вы часто ездите в финку закупаться то это тоже вполне вариант.


    1. KernelHQ
      17.07.2017 16:51
      #10315916

      Можем поставлять то в Финляндию но срок зависит от количества. Если не большое то за 48 часов примерно.


  1. rPman
    14.07.2017 20:43
    #10313410

    Можете объяснить на пальцах, в двух словах, чем схема использования аппаратных генераторов временных паролей с заранее подготовленным ключом лучше универсальной, когда ключ для генерации формируется на стороне клиента и отправляется на сервер.

    Определенно, приобрести любой, перепрошиваемый чистым android, смартфон от 20$-30$ с камерой для qrcode и удобным сенсорным экраном, выглядит заманчивее, там еще и пароли с холодным кошельком оффлайн можно держать.

    Ведь генерируемый код легко за бакапить можно, а железный сломается — заказывай другой, жди.

    p.s. или юбикей уже не такие?


    1. YourChief
      14.07.2017 21:47
      #10313460
      +1

      То о чём вы говорите — это HOTP и TOTP. Он основан на использовании HMAC и общего секрета между пользователем и сервером. Ubikey можно использовать и в этом режиме, но не очень удобно — тогда требуется специальный апплет на компьютере, и действительно тогда смартфон удобнее.

      Ubikey работает в следующих режимах (список не полный, только то, чем пользуюсь сам):

      • U2F — второй фактор для авторизации, в основе которого лежит криптография на эллиптических кривых и HMAC. Плюс в том, что работает во всех современных браузерах сразу и требует от пользователя только прикосновения к брелку. Достаточное количество веб-сервисов его уже поддержиают; я использую его и для входа на локальную машину (pam_u2f в линуксе, на других системах наверное тоже есть).
      • OpenPGP смарт-карта — в этом режиме брелок можно использовать как смарт-карту для GnuPG, а это значит: можно шифровать, расшифровывать и подписывать без опасений, что ключ украдут. Можно использовать его же для авторизации по SSH: GnuPG тогда работает по протоколу агента SSH и криптографическая операция с ключом при входе происходит на брелке. Никакой специальной поддержки со стороны сервера не требуется.


      Насчёт бэкапов — бэкапить второй фактор не принято, принято иметь альтернативный второй фактор: или скрэтч-коды, или второй TOTP, или U2F.

      А вот ключ, хранящийся на смарт-карте OpenPGP бэкапить действительно стоит. Тогда перед загрузкой его на карту его нужно скопировать в безопасное место. После загрузки (или генерации его прямо на карте) извлечь его не удастся.


  1. cepera_ang
    15.07.2017 18:02
    #10313952
    +1

    Пару дней назад были скидки 50% на эти ключи (PrimeDay или что-то типа того), купил парочку по 20$, посреднику в безналоговый штат и услуги посредника: +0$, доставка выйдет хз сколько, но там в обычный конверт поместится. В статье полезного содержимого для любого, кто покупал что угодно за рубежом — около нуля (вся суть: в России не купишь, на амазоне или оффсайте: купишь через любого посредника), зато детально описано множество лишних и отвлекающих подробностей.


  1. KernelHQ
    17.07.2017 05:55
    #10314996
    +1

    Здравствуйте!


    Спасибо за столь хорошая и детальная статья.


    Как руководитель компании The Kernel с головным офисом в ОАЭ/Дубай хочу прокомментировать и уточнить кое какую информацию:


    Наша компания представляет Юбико в Азии, Африке и СНГ.


    ООО Кернел явл. дистрибьютором по России и СНГ и ведёт продаж из склада в г. Москва.


    Веб-сайт yubico.ru уже давно не работает и он был регистрирован бывшим реселлерам Юбико но из за не оплаты заказов работа с ними была прикрашена. Также он себя представали как Юбико Россия а это уже обман.
    Я сделал на их сайте "заказ" когда работал, и они приняли его но не выполнили и затем сайт перестал работать.


    Ключи Юбико любой модели, в любом количестве даже с вашей прошивкой, с любим логотипом и цветом (есть условия) можно доставить Вам с растаможиванием и с гарантией на год.


    Для розницы: смотрите сайт SoftLine.


    Обращайте к ООО Кернел по эл. почтой: info@thekernel.ru


  1. Sky8tmtm
    17.07.2017 11:58
    #10315342

    по текущей цене на амазоне в качестве альтернативы можно посмотреть Onlykey Color, особенно в версии для внутреннего рынка.