OpenSK -forskningsplatform jublede som boost til vedtagelse af sikkerhedsnøgler

En implementering af sikkerhedsnøgler var for nylig i nyhederne. Spotlighten var på OpenSK.

Elie Bursztein, sikkerhed og anti-misbrug forskningsleder og Jean-Michel Picod, software ingeniør, Google, skrev meddelelsen om OpenSK som en forskningsplatform, i deres 30. januar -opslag i Google Security Blog.

Det er open source; dens grund til at være er at forbedre adgangen til FIDO -godkendelsesimplementeringer.

Hvem kan drage fordel af? Forskere, sikkerhedsnøgleproducenter og entusiaster kan bruge det til at hjælpe med at udvikle innovative funktioner. De kan også fremskynde vedtagelsen af ​​sikkerhedsnøgler, de sagde.

"Du kan lave din egen udviklernøgle ved at blinke OpenSK -firmwaren på en nordisk chip -dongle. Udover at være overkommelig, vi valgte Nordic som indledende referencehardware, fordi det understøtter alle større transportprotokoller nævnt af FIDO2:NFC, Bluetooth lav energi, USB, og en dedikeret hardware -kryptokerne. "

(FIDO2 refererer til FIDO Alliances specifikationer. Ifølge FIDO Alliance, "FIDO2 kryptografiske loginoplysninger er unikke på alle websteder, aldrig forlade brugerens enhed og gemmes aldrig på en server. Denne sikkerhedsmodel eliminerer risikoen for phishing, alle former for tyveri af adgangskoder og gentagelse af angreb. ")

ZDNet bekræftede, at hardwareleverandører, der skulle bygge hardware -sikkerhedsnøgler, ville have hjælp i form af OpenSK. Catalin Cimpanu sagde, at dette ville gøre det lettere for hobbyfolk og hardwareleverandører at bygge deres egen sikkerhedsnøgle.

De første versioner af OpenSK -firmwaren blev oprettet til nordiske chip -dongler, sagde Cimpanu.

"Med denne tidlige udgivelse, udviklere vil kunne blinke OpenSK på en nordisk chip -dongle, " sagde XDA -udviklere .

den er skrevet i Rust. Forfatterne til Google Security Blog sagde, at "Rust's stærke hukommelsessikkerhed og nulprisabstraktioner gør koden mindre sårbar over for logiske angreb."

Det kører på TockOS. Sidstnævnte er "et sikkert integreret operativsystem til mikrokontrollere, "ifølge GitHub. Adam Conway i XDA -udviklere sagde, at "TockOS tilbyder en sandkasse -arkitektur til bedre isolering af appletten til sikkerhedsnøgler, chauffører, og kerne. "

GitHub -siden til OpenSK, imens, udtalte:"Dette projekt er proof-of-concept og en forskningsplatform. Det er stadig under udvikling og har som sådan nogle få begrænsninger." Forfatterne gjorde nogle pointer om begrænsningerne, og punkterne omfattede følgende.

Først, FIDO2. "Selvom vi testede og implementerede vores firmware baseret på de offentliggjorte CTAP2.0 -specifikationer, vores implementering blev ikke gennemgået eller officielt testet og hævder ikke at være FIDO -certificeret. "For det andet, Kryptografi. De implementerede algoritmer i Rust som en pladsholder; implementeringerne var forskningskvalitetskode og er ikke blevet gennemgået. "De giver ikke garantier om konstant tid og er ikke designet til at være modstandsdygtige over for sidekanalangreb."

Blogindlægget bemærkede, at "denne udgivelse bør betragtes som et eksperimentelt forskningsprojekt, der skal bruges til test- og forskningsformål."

Hvad står der på forfatternes ønskeliste? "Ved hjælp af forsknings- og udviklermiljøer, vi håber OpenSK med tiden vil bringe innovative funktioner, stærkere integreret krypto, og tilskynde til udbredt anvendelse af betroede phishing-resistente tokens og et websted uden adgangskode, "sagde de.

Cimpanu i ZDNet :"Google håber også, at projektet også i vid udstrækning bliver vedtaget af hardwareleverandører, der endnu ikke har investeret F &U i sikkerhedsnøgleprodukter."

© 2020 Science X Network