支援FIDO U2F與FIDO2標準,OpenSK開源安全金鑰便捷提升資安防護
FIDO是個讓使用者能安全、快速登入網路服務的協定,它能在維持簡單操作的前提下,降低網路釣魚、密碼被破解等資安風險,繼Solo和Somu這些開源實體金鑰之後,Google也同樣以開源的形式推出OpenSK,讓使用者能自行製作金鑰裝置。
免密碼登入網路服務
FIDO(Fast IDentity Online)是種免密碼的身份認證協定,它需以實體金鑰搭配使用,透過非對稱加密技術來保護使用者登入網路服務的過程,不會受到網路釣魚攻擊,強固的密碼機制也能將低被破解的風險。
透過FIDO申請帳號的時候,系統會要求使用者連接並透過指紋、按鈕或是輸入兩步驟驗證的PIN碼,解鎖對應的FIDO驗證器(可能是USB金鑰或與行動裝置)。然後驗證器就會產生一對非對稱金鑰,並將公鑰上傳至網路端與帳號綁定,而私鑰與相關本地端身份驗證資訊(如指紋)則只儲存於驗證器內。
在登入服務的時候,系統一樣會要求連接並解鎖驗證器,接著網路端會傳送一段字串給至本地端,系統會將字串以私鑰加密後回傳至網路端,如此一來如果網路端以公鑰解開後確認字串相符,就能確定使用者確實持有驗證器,而使用者也能確定網路端確實是當初申請帳號的網站,而不是釣魚網站。
▲ Solo是款開源且支援FIDO2的實體金鑰驗證器。(圖片來源:Solokeys,下同)
▲ Somu則是以採用Solo韌體的超迷你驗證器。
▲ 透過FIDO申請帳號時,系統會將公鑰上傳至網路端,並將私鑰保留在本地端。(圖片來源:FIDO,下同)
▲ 登入帳號時,使用者與網路端會互相比對彼此是否擁有正確的公、私鑰。
DIY實體驗證器
為了發揮促進FIDO研發與普及的目的,Google推出開源的OpenSK作為研究平台,希望吸引研究人員、廠商,以及硬體玩家、創客使用,讓更多人能接觸FIDO。
目前OpenSK還處於初期開發階段,研發團隊選擇以Nordic的推出的驗證器為參考平台(價格約為美金10元,約合新台幣300元),可以在刷入OpenSK的韌體後使用。
選擇它的原因除了價格低廉外,它也具有專用硬件加密核心並支援NFC,低功耗藍牙、USB等FIDO2的所有主要傳輸協定,並可能於日後推廣硬體的相容性。
OpenSK採用具有強固記憶體安全性與高效能抽象化Rust語言編寫,並在TockOS作業系統上執行,透過沙盒架構隔離系統核心、驅動程式與安全金鑰應用程式,以構建深度防禦機制,增加系統安全性。
同時,研發團隊也提供保護套的3D列印檔案,使用者可以自行製作驗證器的保護套。
▲OpenSK的登入實際操作展示,登入網站時只要插入USB。
▲ 有興趣的讀者可以自行DIY製作OpenSK驗證器。(圖片來源:Google,下同)
目前研發團隊已經將OpenSK的原始碼上傳至GitHub,有興趣的讀者可以在那邊找到更多相關資訊,並跟隨安裝教學的指示刷寫驗證器韌體,親自動手嘗試OpenSK。