Site icon Sophos News

Google lanza el proyecto de llaves de seguridad de código abierto, OpenSK

llave usb

¿Estás interesado en usar llaves de seguridad de hardware para iniciar sesión en los servicios online de manera más segura? Bueno, ahora puedes hacer la tuya desde cero, gracias a un proyecto de código abierto que Google anunció la semana pasada.

Google ha lanzado una implementación de código abierto llamada OpenSK. Es un firmware que puedes instalar en una llave USB, convirtiéndola en una llave compatible con FIDO o U2F.

FIDO es un estándar para el acceso seguro en línea a través de un navegador que va más allá de las contraseñas. Hay tres tipos en la actualidad: Universal Second Factor (U2F), Universal Authentication Factor (UAF) y FIDO2.

UAF gestiona la autenticación biométrica, mientras que U2F permite que las personas se autentiquen usando llaves de hardware que pueden conectar a un puerto USB o colocar en un lector. Esto funciona como una capa adicional sobre tu contraseña habitual.

FIDO2 elimina por completo las contraseñas mientras usa una clave de hardware mediante un protocolo de autenticación llamado WebAuthn. Esto utiliza el token digital en su clave de seguridad para iniciar sesión directamente en un servicio online compatible.

Hasta la fecha, Yubikey y Google han sido los principales proveedores de llaves compatibles con FIDO, pero lo han hecho utilizando su propio hardware y software patentado. Google espera que al lanzar una versión de código abierto del firmware FIDO, acelerará una adopción más amplia del estándar.

Google ha diseñado el firmware OpenSK para que funcione en una llave nórdica, que es una pequeña placa sin carcasa con un conector USB. Maneja todos los canales de comunicación compatibles con FIDO2, no solo USB sino también inalámbricos como Bluetooth Low Energy (BLE) y comunicación de campo cercano (NFC). Eso significa que, si lo desea, puedes usar un chip nórdico con OpenSK como clave de seguridad inalámbrica.

Como proyecto de código abierto, hay algunas advertencias que hacen de esto más un proyecto de investigación que una alternativa oficial a las llaves de seguridad fabricadas contra los piratas informáticos. Por un lado, Google solo ha probado el firmware con dos placas nórdicas: la nRF52840-DK y el nRF52840-dongle. No hay ninguna razón por la que no puedas probarlo en otros, pero hay poca certeza sobre si funcionará. Además, si bien Google probó el firmware con CTAP 2.0, que es un protocolo que forma parte de FIDO2 que permite que las teclas digitales funcionen en un navegador, FIDO Alliance no ha certificado OpenSK, lo que significa que no se trata de un proyecto con Certificado FIDO.

Finalmente, está la criptografía. Google aún no ha conectado el código de criptografía incrustado en el hardware con su firmware. En cambio, escribió los algoritmos de criptografía en el propio Rust. Dice:

Esas implementaciones son códigos de calidad de investigación y no han sido revisados. No ofrecen garantías de tiempo constante y no están diseñados para resistir los ataques de canal lateral.

Rust es un lenguaje conocido por sus medidas de seguridad como la seguridad de la memoria. El firmware también incluye un sistema operativo llamado TockOS, que está protegido para que las cosas que suceden en el firmware no afecten al núcleo subyacente.

Estrictamente hablando, esto es más para que los hackers experimenten que para producir claves de seguridad de hardware certificablemente seguras, por lo que Google tuvo cuidado de usar el término “clave de desarrollador” cuando escribió en su blog sobre OpenSK. Aún así, estamos seguros de que eso no impedirá que la gente lo haga de todos modos. Google incluso ha proporcionado planes de impresoras 3D para una carcasa nórdica, para aquellos que lo deseen.

Este no es el único kit de herramientas FIDO de código abierto disponible. CrowdSupply logró con éxito el financiamiento colectivo de Somu, una pequeña llave de seguridad de código abierto compatible con FIDO2. También hay otra llave llamada Solo. Ambas están diseñadas para uso doméstico, mientras que Solo Hacker es para que los hackers y los fabricantes jueguen.

Exit mobile version