Uma implementação para chaves de segurança foi notícia recentemente. O destaque estava no OpenSK.

Elie Bursztein, líder de pesquisa de segurança e anti-abuso e Jean-Michel Picod, engenheiro de software, Google, escreveu o anúncio sobre o OpenSK como uma plataforma de pesquisa, em sua postagem de 30 de janeiro no Blog de segurança do Google.

É um código aberto; sua razão de ser é melhorar o acesso às implementações do autenticador FIDO.

Quem pode se beneficiar? Pesquisadores, fabricantes de chaves de segurança e entusiastas podem usá-lo para ajudar a desenvolver recursos inovadores. Eles também podem acelerar a adoção de chaves de segurança, eles disseram.

"Você pode fazer sua própria chave de desenvolvedor atualizando o firmware OpenSK em um dongle de chip nórdico. Além de ser acessível, escolhemos o Nordic como hardware de referência inicial porque ele suporta todos os principais protocolos de transporte mencionados por FIDO2:NFC, Bluetooth de baixa energia, USB, e um núcleo de criptografia de hardware dedicado. "

(FIDO2 refere-se ao conjunto de especificações da FIDO Alliance. De acordo com a FIDO Alliance, "As credenciais de login criptográficas FIDO2 são exclusivas em cada site, nunca saia do dispositivo do usuário e nunca seja armazenado em um servidor. Este modelo de segurança elimina os riscos de phishing, todas as formas de roubo de senha e ataques de repetição. ")

ZDNet afirmou que os fornecedores de hardware que precisam construir chaves de segurança de hardware teriam ajuda na forma de OpenSK. Catalin Cimpanu disse que isso tornará mais fácil para entusiastas e fornecedores de hardware construir sua própria chave de segurança.

As primeiras versões do firmware OpenSK foram criadas para dongles de chips nórdicos, disse Cimpanu.

"Com este lançamento antecipado, os desenvolvedores serão capazes de fazer flash OpenSK em um dongle de chip nórdico, " disse Desenvolvedores XDA .

está escrito em Rust. Os autores do blog de segurança do Google disseram que "a forte segurança de memória do Rust e as abstrações de custo zero tornam o código menos vulnerável a ataques lógicos".

Ele roda no TockOS. O último é "um sistema operacional integrado seguro para microcontroladores, "de acordo com o GitHub. Adam Conway em Desenvolvedores XDA disse que "o TockOS oferece uma arquitetura em sandbox para melhor isolamento do miniaplicativo de chave de segurança, motoristas, e kernel. "

A página GitHub para OpenSK, Enquanto isso, afirmou:"Este projeto é uma prova de conceito e uma plataforma de pesquisa. Ainda está em desenvolvimento e, como tal, vem com algumas limitações." Os autores fizeram alguns comentários sobre as limitações e os pontos incluíram o seguinte.

Primeiro, FIDO2. "Embora tenhamos testado e implementado nosso firmware com base nas especificações publicadas do CTAP2.0, nossa implementação não foi revisada nem testada oficialmente e não afirma ser certificada pela FIDO. "Em segundo lugar, Criptografia. Eles implementaram algoritmos em Rust como um espaço reservado; as implementações eram códigos de qualidade de pesquisa e não foram revisadas. "Eles não oferecem garantias de tempo constante e não são projetados para serem resistentes a ataques de canal lateral."

A postagem do blog observou que "este lançamento deve ser considerado como um projeto de pesquisa experimental a ser usado para fins de teste e pesquisa."

O que está na lista de desejos dos autores? "Com a ajuda das comunidades de pesquisa e desenvolvedores, esperamos que o OpenSK, com o tempo, traga recursos inovadores, criptografia incorporada mais forte, e encorajar a adoção generalizada de tokens confiáveis ​​resistentes a phishing e uma web sem senha, "afirmaram.

Cimpanu em ZDNet :"O Google também espera que o projeto seja amplamente adotado por fornecedores de hardware que ainda não investiram em P&D em produtos essenciais de segurança."

© 2020 Science X Network