Onlangs was er een implementatie voor beveiligingssleutels in het nieuws. De schijnwerpers stonden op OpenSK.

Elie Bursztein, veiligheids- en antimisbruikonderzoeksleider en Jean-Michel Picod, software ontwikkelaar, Google, schreef de aankondiging over OpenSK als onderzoeksplatform, in hun bericht van 30 januari in de Google Security Blog.

Het is open-source; de reden van bestaan ​​is om de toegang tot FIDO-authenticatorimplementaties te verbeteren.

Wie kan profiteren? onderzoekers, fabrikanten en enthousiastelingen van beveiligingssleutels kunnen het gebruiken om innovatieve functies te ontwikkelen. Ze kunnen ook de acceptatie van beveiligingssleutels versnellen, ze zeiden.

"Je kunt je eigen ontwikkelaarssleutel maken door de OpenSK-firmware op een Scandinavische chipdongle te flashen. Behalve dat het betaalbaar is, we kozen Nordic als initiële referentiehardware omdat het alle belangrijke transportprotocollen ondersteunt die door FIDO2 worden genoemd:NFC, Bluetooth lage energie, USB, en een speciale hardware-cryptokern."

(FIDO2 verwijst naar de specificaties van de FIDO Alliance. Volgens de FIDO Alliance, "FIDO2 cryptografische inloggegevens zijn uniek op elke website, verlaat nooit het apparaat van de gebruiker en wordt nooit op een server opgeslagen. Dit beveiligingsmodel elimineert de risico's van phishing, alle vormen van wachtwoorddiefstal en replay-aanvallen.")

ZDNet bevestigde dat hardwareleveranciers die hardwarebeveiligingssleutels moeten bouwen, hulp zouden hebben in de vorm van OpenSK. Catalin Cimpanu zei dat dit het voor hobbyisten en hardwareleveranciers gemakkelijker zou maken om hun eigen beveiligingssleutel te bouwen.

De eerste versies van de OpenSK-firmware zijn gemaakt voor Scandinavische chipdongles, zei Cimpani.

"Met deze vroege release, ontwikkelaars kunnen OpenSK flashen op een Scandinavische chipdongle, " zei XDA-ontwikkelaars .

het is geschreven in roest. De auteurs van Google Security Blog zeiden dat "Rust's sterke geheugenveiligheid en gratis abstracties de code minder kwetsbaar maken voor logische aanvallen."

Het draait op TockOS. Dit laatste is "een veilig ingebed besturingssysteem voor microcontrollers, " volgens GitHub. Adam Conway in XDA-ontwikkelaars zei dat "TockOS een sandbox-architectuur biedt voor een betere isolatie van de beveiligingssleutel-applet, chauffeurs, en kern."

De GitHub-pagina voor OpenSK, In de tussentijd, verklaarde:"Dit project is een proof-of-concept en een onderzoeksplatform. Het is nog in ontwikkeling en heeft als zodanig enkele beperkingen." De auteurs maakten enkele opmerkingen over de beperkingen en de punten omvatten het volgende.

Eerst, FIDO2. "Hoewel we onze firmware hebben getest en geïmplementeerd op basis van de gepubliceerde CTAP2.0-specificaties, onze implementatie is niet beoordeeld of officieel getest en beweert niet FIDO-gecertificeerd te zijn." Ten tweede, cryptografie. Ze implementeerden algoritmen in Rust als tijdelijke aanduiding; de implementaties waren code van onderzoekskwaliteit en zijn niet beoordeeld. "Ze bieden geen constante-tijdgaranties en zijn niet ontworpen om bestand te zijn tegen zijkanaalaanvallen."

De blogpost merkte op dat "deze release moet worden beschouwd als een experimenteel onderzoeksproject dat moet worden gebruikt voor test- en onderzoeksdoeleinden."

Wat staat er op het verlanglijstje van de auteurs? "Met de hulp van de onderzoeks- en ontwikkelaarsgemeenschappen, we hopen dat OpenSK in de loop van de tijd innovatieve functies zal brengen, sterkere ingebedde crypto, en wijdverbreide acceptatie van vertrouwde phishing-resistente tokens en een wachtwoordloos web aanmoedigen, " verklaarden ze.

Cimpanu in ZDNet :"Google hoopt ook dat het project ook breed wordt overgenomen door hardwareleveranciers die nog geen R&D hebben geïnvesteerd in beveiligingssleutelproducten."

© 2020 Wetenschap X Netwerk