Un'implementazione per le chiavi di sicurezza era nelle notizie di recente. I riflettori erano puntati su OpenSK.

Elie Bursztein, responsabile della ricerca in materia di sicurezza e antiabuso e Jean-Michel Picod, ingegnere del software, Google, ha scritto l'annuncio su OpenSK come piattaforma di ricerca, nel loro post del 30 gennaio nel blog sulla sicurezza di Google.

È open source; la sua ragione d'essere è migliorare l'accesso alle implementazioni dell'autenticatore FIDO.

Chi può beneficiarne? Ricercatori, i produttori e gli appassionati di chiavi di sicurezza possono utilizzarlo per sviluppare funzionalità innovative. Possono anche accelerare l'adozione delle chiavi di sicurezza, loro hanno detto.

"Puoi creare la tua chiave per sviluppatori eseguendo il flashing del firmware OpenSK su un dongle per chip nordico. Oltre ad essere conveniente, abbiamo scelto Nordic come hardware di riferimento iniziale perché supporta tutti i principali protocolli di trasporto menzionati da FIDO2:NFC, Bluetooth a bassa energia, USB, e un hardware crittografico dedicato."

(FIDO2 si riferisce al set di specifiche della FIDO Alliance. Secondo FIDO Alliance, "Le credenziali di accesso crittografico FIDO2 sono uniche in ogni sito web, non abbandonano mai il dispositivo dell'utente e non vengono mai archiviati su un server. Questo modello di sicurezza elimina i rischi di phishing, tutte le forme di furto di password e attacchi di ripetizione.")

ZDNet ha affermato che i fornitori di hardware che necessitano di creare chiavi di sicurezza hardware avrebbero avuto aiuto sotto forma di OpenSK. Catalin Cimpanu ha affermato che questo avrebbe reso più facile per gli hobbisti e i fornitori di hardware creare la propria chiave di sicurezza.

Le prime versioni del firmware OpenSK sono state create per i dongle per chip nordici, disse Cimpanu.

"Con questo rilascio anticipato, gli sviluppatori saranno in grado di eseguire il flashing di OpenSK su un dongle di chip nordico, " disse Sviluppatori XDA .

è scritto in ruggine. Gli autori del Google Security Blog hanno affermato che "la forte sicurezza della memoria di Rust e le astrazioni a costo zero rendono il codice meno vulnerabile agli attacchi logici".

Funziona su TockOS. Quest'ultimo è "un sistema operativo embedded sicuro per microcontrollori, " secondo GitHub. Adam Conway in Sviluppatori XDA ha affermato che "TockOS offre un'architettura sandbox per un migliore isolamento dell'applet della chiave di sicurezza, autisti, e nocciolo."

La pagina GitHub per OpenSK, nel frattempo, ha dichiarato:"Questo progetto è un proof-of-concept e una piattaforma di ricerca. È ancora in fase di sviluppo e come tale presenta alcune limitazioni". Gli autori hanno fatto alcune osservazioni sui limiti e i punti includevano quanto segue.

Primo, FIDO2. "Sebbene abbiamo testato e implementato il nostro firmware in base alle specifiche CTAP2.0 pubblicate, la nostra implementazione non è stata esaminata né testata ufficialmente e non pretende di essere certificata FIDO." In secondo luogo, Crittografia. Hanno implementato algoritmi in Rust come segnaposto; le implementazioni erano codice di qualità della ricerca e non sono state riviste. "Non forniscono garanzie costanti e non sono progettati per resistere agli attacchi side-channel".

Il post sul blog ha osservato che "questa versione dovrebbe essere considerata come un progetto di ricerca sperimentale da utilizzare per scopi di test e ricerca".

Cosa c'è nella lista dei desideri degli autori? "Con l'aiuto delle comunità di ricerca e sviluppo, speriamo che OpenSK nel tempo possa portare funzionalità innovative, crittografia incorporata più forte, e incoraggiare l'adozione diffusa di token affidabili resistenti al phishing e un Web senza password, " hanno affermato.

Cimpanu in ZDNet :"Google spera anche che il progetto venga ampiamente adottato anche dai fornitori di hardware che non hanno ancora investito in ricerca e sviluppo in prodotti chiave per la sicurezza".

© 2020 Scienza X Rete