En implementering för säkerhetsnycklar var nyligen i nyheterna. Fokus låg på OpenSK.

Elie Bursztein, forskningsledare för säkerhet och antimissbruk och Jean-Michel Picod, mjukvaruingenjör, Google, skrev tillkännagivandet om OpenSK som forskningsplattform, i deras inlägg den 30 januari i Googles säkerhetsblogg.

Det är öppen källkod; anledningen till detta är att förbättra åtkomsten till FIDO-autentiseringsimplementeringar.

Vem kan gynnas? Forskare, Säkerhetsnyckeltillverkare och entusiaster kan använda den för att utveckla innovativa funktioner. De kan också påskynda antagandet av säkerhetsnyckel, sa de.

"Du kan skapa din egen utvecklarnyckel genom att flasha OpenSK firmware på en nordisk chipdongel. Förutom att det är prisvärt, vi valde Nordic som initial referenshårdvara eftersom den stöder alla större transportprotokoll som nämns av FIDO2:NFC, Bluetooth lågenergi, USB, och en dedikerad hårdvarukryptokärna."

(FIDO2 hänvisar till FIDO Alliances uppsättning specifikationer. Enligt FIDO Alliance, "FIDO2 kryptografiska inloggningsuppgifter är unika på alla webbplatser, lämna aldrig användarens enhet och lagras aldrig på en server. Denna säkerhetsmodell eliminerar riskerna med nätfiske, alla former av lösenordsstöld och reprisattacker.")

ZDNet bekräftade att hårdvaruleverantörer som behöver bygga hårdvarusäkerhetsnycklar skulle få hjälp i form av OpenSK. Catalin Cimpanu sa att detta skulle göra det lättare för hobbyister och hårdvaruleverantörer att bygga sin egen säkerhetsnyckel.

De första versionerna av OpenSK firmware skapades för nordiska chipdonglar, sa Cimpanu.

"Med denna tidiga release, utvecklare kommer att kunna flasha OpenSK på en nordisk chipdongel, " sa XDA-utvecklare .

det är skrivet i Rust. Googles säkerhetsbloggförfattare sa att "Rusts starka minnessäkerhet och nollkostnadsabstraktioner gör koden mindre sårbar för logiska attacker."

Det körs på TockOS. Det senare är "ett säkert inbyggt operativsystem för mikrokontroller, " enligt GitHub. Adam Conway in XDA-utvecklare sa att "TockOS erbjuder en sandlådearkitektur för bättre isolering av säkerhetsnyckelappleten, förare, och kärna."

GitHub-sidan för OpenSK, under tiden, sade:"Detta projekt är proof-of-concept och en forskningsplattform. Det är fortfarande under utveckling och kommer därför med några begränsningar." Författarna gjorde några poäng om begränsningarna och punkterna inkluderade följande.

Först, FIDO2. "Även om vi testade och implementerade vår firmware baserat på de publicerade CTAP2.0-specifikationerna, vår implementering har inte granskats eller testats officiellt och gör inte anspråk på att vara FIDO-certifierad." För det andra, Kryptografi. De implementerade algoritmer i Rust som platshållare; implementeringarna var forskningskvalitetskod och har inte granskats. "De ger inga konstanta garantier och är inte designade för att vara resistenta mot sidokanalattacker."

Blogginlägget noterade att "denna utgåva bör betraktas som ett experimentellt forskningsprojekt som ska användas för test- och forskningsändamål."

Vad står på författarnas önskelista? "Med hjälp av forsknings- och utvecklargemenskaperna, vi hoppas att OpenSK med tiden kommer att ge innovativa funktioner, starkare inbäddad krypto, och uppmuntra utbredd användning av betrodda phishing-resistenta tokens och en lösenordslös webb, " konstaterade de.

Cimpanu in ZDNet :"Google hoppas också att projektet också anammas brett av hårdvaruleverantörer som ännu inte har investerat FoU i säkerhetsnyckelprodukter."

© 2020 Science X Network