Google去年开卖自有Titan安全密钥设备后,周四进一步把开发硬件安全密钥的固件以OpenSK项目开源,让独立开发人员或硬件厂商也能开发安全加解密设备。
FIDO安全密钥提供简单方便、免密码的双重验证(two-factor authentication,2FA)方式,让用户安全登录Google服务(如Gmail、Google Docs等)及其他支持FIDO2/ Web Authentication (WebAuthn)协议的网站及社交平台,免于连到钓鱼网站。为加速FIDO 2-based 2FA密钥的普及,Google宣布在GitHub上发布OpenSK项目。
OpenSK是以Rust撰写的开源密钥实例,支持FIDO U2F及FIDO 2标准。Google说希望借由这个开源项目让研究人员、密钥制造商或有兴趣的人,都能投入开发创新功能,加速硬件密钥的普及。
开发人员可以将OpenSK固件刷到Nodic芯片的dongle开发板上。Google解释之所以选择Nordic开发板作为第一个参考硬件,除了价格便宜外,也因为它支持FIDO2组织提及的所有主流传输协议,如NFC、Bluetooth LE、USB及专属的硬件密码核心组件。Google说计划未来也会扩大到其他芯片上。
OpenSK是以Rust撰写而成,跑在TockOS上。Google表示Rust更强的内存安全防护及无成本抽象化(zero-cost abstraction)的特性,让程序代码不易受到逻辑层攻击。TockOS具备沙箱架构,可在密钥applet、驱动程序及核心提供隔离,这也是创建深度防护的必要组件。Google本身也为TockOS贡献了存储系统及安全修补程序代码。
此外,Google还提供SLA(光立体造型术)3D打印文件,让有意自己开发的人,也能用3D打印机打印出硬件密钥。