https://www.heise.de/imgs/18/2/8/3/5/3/2/7/shutterstock_1468998785-4c7bbdc4509a8793.jpeg
(Bild: PhotoworldPro/Shutterstock.com)

Sicherheitsschlüssel: Google eröffnet Entwicklungsplattform OpenSK

Zur Unterstützung des FIDO-Standards öffnet Google das in Rust geschriebene Open-Source-Projekt OpenSK für Forscher und Security-Key-Entwickler.

by

Googles Security-Team ruft zur Mitarbeit an der Entwicklungsplattform OpenSK auf. Das in Rust geschriebene Open-Source-Projekt unterstützt die Standards FIDO U2F und FIDO2, mit denen sich gegen Phishing geschützte Sicherheitsschlüssel mit Zwei-Faktor-Authentifizierung (2FA) implementieren lassen. OpenSK soll Forschern, Security-Key-Anbietern und interessierten Entwicklern dabei helfen, neue Funktionen zu entwerfen, und zu einer raschen Verbreitung und Anwendung von Sicherheitsschlüsseln beitragen.

Sichere Basis mit Rust und TockOS

OpenSK ist in der auf Nebenläufigkeit und Sicherheit ausgerichteten Programmiersprache Rust geschrieben und baut auf dem Betriebssystem TockOS auf, das dank seiner Sandbox-Architektur eine weitgehende Isolation zwischen den Security Key Applets, Treibern und dem Kernel gewährleisten soll. Während Rust dazu beitragen soll, Sicherheitslücken durch Programmfehler zu vermeiden, die auf Speicherzugriffsfehler oder Pufferüberläufe zurückgehen, haben die Google-Entwickler das TockOS Repository um einige spezielle Anpassungen an Flash-Speichersysteme ergänzt, wie sie für FIDO-Hardware typischerweise zum Einsatz kommen.

OpenSK Developer Edition

Für die OpenSK Developer Edition arbeitet Google mit Nordic Semiconductor zusammen, die als Referenzhardware die wichtigsten Transportprotokolle aus dem FIDO2-Standard unterstützen: NFC, Bluetooth Low Energy und USB sowie einen dedizierten Hardware-Kryptokern. Den Nordic Chip Dongle samt 3D-druckbarer Gehäuse können Entwickler mit der OpenSK Firmware versehen, um eigene Sicherheitsschlüssel zu erstellen.

Video: OpenSK kurz vorgestellt.

Auch wenn sich bereits vollfunktionsfähige FIDO-Authentifizierer bauen lassen, will Google OpenSK noch als experimentelles Forschungsprojekt verstanden wissen. Weitere Informationen finden sich im Blogbeitrag zur Ankündigung. Wer sich ein konkreteres Bild von OpenSK verschaffen und selbst mit der Entwicklung von Sicherheitsschlüsseln beginnen will, findet alles dafür Notwendige im GitHub Repository. (map)