Une implémentation pour les clés de sécurité a récemment fait la une des journaux. Les projecteurs étaient braqués sur OpenSK.

Elie Bursztein, responsable de la recherche sécurité et anti-abus et Jean-Michel Picod, ingénieur logiciel, Google, a écrit l'annonce sur OpenSK en tant que plate-forme de recherche, dans leur article du 30 janvier sur le blog de sécurité de Google.

C'est open source; sa raison d'être est d'améliorer l'accès aux implémentations d'authentificateur FIDO.

Qui peut en bénéficier ? Des chercheurs, les fabricants de clés de sécurité et les passionnés peuvent l'utiliser pour développer des fonctionnalités innovantes. Ils peuvent également accélérer l'adoption des clés de sécurité, ils ont dit.

"Vous pouvez créer votre propre clé de développeur en flashant le micrologiciel OpenSK sur un dongle à puce nordique. En plus d'être abordable, nous avons choisi Nordic comme matériel de référence initial car il prend en charge tous les principaux protocoles de transport mentionnés par FIDO2 :NFC, Bluetooth basse énergie, USB, et un cœur de chiffrement matériel dédié."

(FIDO2 fait référence au cahier des charges de l'Alliance FIDO. Selon l'Alliance FIDO, « Les identifiants de connexion cryptographiques FIDO2 sont uniques sur chaque site Web, ne quittent jamais l'appareil de l'utilisateur et ne sont jamais stockés sur un serveur. Ce modèle de sécurité élimine les risques de phishing, toutes les formes de vol de mot de passe et d'attaques par rejeu.")

ZDNet a affirmé que les fournisseurs de matériel ayant besoin de créer des clés de sécurité matérielles auraient une aide sous la forme d'OpenSK. Catalin Cimpanu a déclaré que cela permettrait aux amateurs et aux fournisseurs de matériel de créer plus facilement leur propre clé de sécurité.

Les premières versions du firmware OpenSK ont été créées pour les dongles à puce nordiques, dit Cimpanu.

"Avec cette sortie anticipée, les développeurs pourront flasher OpenSK sur un dongle à puce nordique, " mentionné Développeurs XDA .

il est écrit en Rust. Les auteurs du Google Security Blog ont déclaré que "la forte sécurité de la mémoire et les abstractions à coût nul de Rust rendent le code moins vulnérable aux attaques logiques".

Il fonctionne sur TockOS. Ce dernier est « un système d'exploitation embarqué sécurisé pour microcontrôleurs, " selon GitHub. Adam Conway dans Développeurs XDA a déclaré que « TockOS propose une architecture en bac à sable pour une meilleure isolation de l'applet de la clé de sécurité, Conducteurs, et noyau."

La page GitHub pour OpenSK, pendant ce temps, a déclaré:"Ce projet est une preuve de concept et une plate-forme de recherche. Il est encore en cours de développement et, en tant que tel, comporte quelques limites." Les auteurs ont fait quelques remarques sur les limites et les points comprenaient ce qui suit.

D'abord, FIDO2. « Bien que nous ayons testé et mis en œuvre notre micrologiciel sur la base des spécifications CTAP2.0 publiées, notre implémentation n'a pas été examinée ni testée officiellement et ne prétend pas être certifiée FIDO. Cryptographie. Ils ont implémenté des algorithmes dans Rust comme espace réservé ; les implémentations étaient du code de qualité recherche et n'ont pas été examinées. "Ils ne fournissent pas de garanties à temps constant et ne sont pas conçus pour résister aux attaques par canal latéral."

Le billet de blog a noté que "cette version doit être considérée comme un projet de recherche expérimentale à utiliser à des fins de test et de recherche".

Qu'y a-t-il sur la liste de souhaits des auteurs? "Avec l'aide des communautés de recherche et de développeurs, nous espérons qu'OpenSK apportera au fil du temps des fonctionnalités innovantes, crypto intégrée plus puissante, et encourager l'adoption généralisée de jetons de confiance résistants au phishing et d'un site Web sans mot de passe, " ont-ils déclaré.

Cimpanu dans ZDNet :"Google espère également que le projet sera également largement adopté par les fournisseurs de matériel qui n'ont pas encore investi en R&D dans des produits clés de sécurité."

© 2020 Réseau Science X