Una implementación para llaves de seguridad fue noticia recientemente. El foco de atención estaba en OpenSK.

Elie Bursztein, jefe de investigación de seguridad y anti-abuso y Jean-Michel Picod, ingeniero de software, Google, escribió el anuncio sobre OpenSK como plataforma de investigación, en su publicación del 30 de enero en el Blog de seguridad de Google.

Es de código abierto; su razón de ser es mejorar el acceso a las implementaciones del autenticador FIDO.

¿Quién puede beneficiarse? Investigadores Los fabricantes de llaves de seguridad y los entusiastas pueden usarlo para ayudar a desarrollar funciones innovadoras. También pueden acelerar la adopción de claves de seguridad, ellos dijeron.

"Puede crear su propia clave de desarrollador actualizando el firmware OpenSK en un dongle de chip nórdico. Además de ser asequible, Elegimos Nordic como hardware de referencia inicial porque es compatible con todos los principales protocolos de transporte mencionados por FIDO2:NFC, Bluetooth de baja energía, USB, y un núcleo de cifrado de hardware dedicado ".

(FIDO2 se refiere al conjunto de especificaciones de la Alianza FIDO. Según la Alianza FIDO, "Las credenciales de inicio de sesión criptográficas de FIDO2 son únicas en todos los sitios web, nunca abandonan el dispositivo del usuario y nunca se almacenan en un servidor. Este modelo de seguridad elimina los riesgos de phishing, todas las formas de robo de contraseñas y ataques de repetición ").

ZDNet afirmó que los proveedores de hardware que necesiten crear claves de seguridad de hardware tendrían ayuda en forma de OpenSK. Catalin Cimpanu dijo que esto facilitaría que los aficionados y los proveedores de hardware construyeran su propia llave de seguridad.

Las primeras versiones del firmware OpenSK se crearon para dongles de chip nórdicos, dijo Cimpanu.

"Con este lanzamiento anticipado, los desarrolladores podrán flashear OpenSK en un dongle de chip nórdico, " dijo Desarrolladores XDA .

está escrito en Rust. Los autores del Blog de seguridad de Google dijeron que "la sólida seguridad de la memoria de Rust y las abstracciones de costo cero hacen que el código sea menos vulnerable a los ataques lógicos".

Funciona con TockOS. Este último es "un sistema operativo integrado seguro para microcontroladores, "según GitHub. Adam Conway en Desarrolladores XDA dijo que "TockOS ofrece una arquitectura de espacio aislado para un mejor aislamiento del subprograma de la clave de seguridad, conductores y kernel ".

La página de GitHub para OpenSK, mientras tanto, declaró:"Este proyecto es una prueba de concepto y una plataforma de investigación. Todavía está en desarrollo y, como tal, tiene algunas limitaciones". Los autores hicieron algunos puntos sobre las limitaciones y los puntos incluyeron los siguientes.

Primero, FIDO2. "Aunque probamos e implementamos nuestro firmware según las especificaciones CTAP2.0 publicadas, nuestra implementación no fue revisada ni probada oficialmente y no afirma tener la certificación FIDO ". En segundo lugar, Criptografía. Implementaron algoritmos en Rust como marcador de posición; las implementaciones fueron código de calidad de investigación y no han sido revisadas. "No ofrecen garantías de tiempo constante y no están diseñadas para resistir los ataques de canal lateral".

La publicación del blog señaló que "este lanzamiento debe considerarse como un proyecto de investigación experimental que se utilizará con fines de prueba e investigación".

¿Qué hay en la lista de deseos de los autores? "Con la ayuda de las comunidades de investigadores y desarrolladores, esperamos que OpenSK a lo largo del tiempo traiga características innovadoras, criptografía incrustada más fuerte, y fomentar la adopción generalizada de tokens confiables resistentes a la suplantación de identidad y una web sin contraseña, ", afirmaron.

Cimpanu en ZDNet :"Google también espera que el proyecto también sea ampliamente adoptado por los proveedores de hardware que aún no han invertido I + D en productos clave de seguridad".

© 2020 Science X Network