OpenSK研究平臺為安全密鑰的采用而歡呼

最近新聞報道了安全密鑰的實現(xiàn)。聚光燈落在了OpenSK上。

安全與反濫用研究負責(zé)人Elie Bursztein和谷歌的軟件工程師Jean-Michel Picod在他們1月30日的谷歌安全博客上發(fā)表了關(guān)于OpenSK作為一個研究平臺的聲明。

它是開源的;它存在的原因是為了改進對FIDO authenticator實現(xiàn)的訪問。

誰能受益?研究人員、安全密鑰制造商和愛好者可以使用它來幫助開發(fā)創(chuàng)新功能。他們說，他們還可以加快安全密鑰的采用。

你可以通過在北歐芯片適配器上閃爍OpenSK固件來制作自己的開發(fā)人員密鑰。除了價格低廉外，我們選擇北歐作為初始參考硬件，因為它支持FIDO2提到的所有主要傳輸協(xié)議:NFC、藍牙低功耗、USB和專用硬件加密核心。

(FIDO2指的是FIDO聯(lián)盟的一套規(guī)范。據(jù)FIDO聯(lián)盟稱，“FIDO2密碼登錄憑證在每個網(wǎng)站上都是獨一無二的，永遠不會離開用戶的設(shè)備，也永遠不會存儲在服務(wù)器上。這種安全模式消除了網(wǎng)絡(luò)釣魚、各種形式的密碼盜竊和重放攻擊的風(fēng)險?！?/p>

ZDNet確認，需要構(gòu)建硬件安全密鑰的硬件供應(yīng)商可以使用OpenSK提供幫助。Catalin Cimpanu說，這將使愛好者和硬件供應(yīng)商更容易建立自己的安全密鑰。

Cimpanu說，OpenSK固件的第一個版本是為北歐的芯片適配器設(shè)計的。

XDA開發(fā)人員說:“隨著這個早期版本的發(fā)布，開發(fā)人員將能夠在一個北歐芯片適配器上flash OpenSK?！?/p>

這是鐵銹寫的。谷歌安全博客的作者說:“Rust強大的內(nèi)存安全性和零成本的抽象使得代碼不易受到邏輯攻擊?！?/p>

它運行在TockOS上。后者是“一個用于微控制器的安全嵌入式操作系統(tǒng)”，GitHub稱。XDA開發(fā)人員中的Adam Conway說:“TockOS提供了一個沙箱架構(gòu)，用于更好地隔離安全密鑰applet、驅(qū)動程序和內(nèi)核?！?/p>

與此同時，OpenSK的GitHub頁面表示:“這個項目是概念驗證和研究平臺。它仍在開發(fā)中，因此有一些限制?！弊髡呔推渚窒扌蕴岢隽艘韵聨c看法。

首先,FIDO2。“雖然我們測試并實現(xiàn)了基于已發(fā)布的CTAP2.0規(guī)范的固件，但我們的實現(xiàn)沒有經(jīng)過審查，也沒有進行官方測試，也沒有獲得FIDO認證。”第二,密碼學(xué)。他們在Rust中實現(xiàn)了作為占位符的算法;這些實現(xiàn)是研究級質(zhì)量的代碼，沒有經(jīng)過審查?！八鼈儾惶峁┕潭〞r間的保證，也不是為了抵抗側(cè)通道攻擊而設(shè)計的?！?/p>

這篇博文指出，“這個版本應(yīng)該被視為一個實驗研究項目，用于測試和研究目的。”

作者的愿望清單上有什么?“在研究人員和開發(fā)人員社區(qū)的幫助下，我們希望OpenSK隨著時間的推移將帶來創(chuàng)新的功能，更強大的嵌入式密碼，并鼓勵廣泛采用可信的抗釣魚令牌和無密碼網(wǎng)絡(luò)，”他們說。

Cimpanu在ZDNet上說:“谷歌也希望這個項目能被那些還沒有在安全關(guān)鍵產(chǎn)品上進行研發(fā)的硬件廠商廣泛采用。”