image

Google maakt firmware voor beveiligingssleutels open source

vrijdag 31 januari 2020, 10:33 door Redactie, 16 reacties

Google heeft firmware die voor een fysieke beveiligingssleutels is te gebruiken open source gemaakt. OpenSK is een in de programmeertaal Rust geschreven opensource-implementatie voor beveiligingssleutels die de FIDO U2F- en FIDO2-standaarden ondersteunt. De beveiligingssleutel fungeert als een tweede factor tijdens het inloggen. Nadat het wachtwoord is ingevoerd wordt de aanwezigheid van de sleutel gecontroleerd.

Beveiligingssleutels maken gebruik van een protocol dat op standaard public key-cryprografie is gebaseerd. Een gebruiker die zijn beveiligingssleutel voor een website wil gebruiken moet dit eerst instellen. Tijdens het instellen registreert de gebruiker een publieke sleutel. Bij het inloggen vraagt de website vervolgens om een cryptografische handtekening die bewijst dat de gebruiker de eigenaar is van de privésleutel die bij de publieke sleutel hoort. Hierdoor werkt de beveiligingssleutel alleen op de website waarvoor die is geregistreerd.

Volgens Google bieden fysieke beveiligingssleutels de beste bescherming tegen phishing. Steeds meer websites ondersteunen het gebruik van beveiligingssleutels, zoals Coinbase, Dropbox, Facebook, GitHub, Salesforce, Stripe en Twitter. Door de firmware open source te maken hoopt Google dat onderzoekers, sleutelfabrikanten en andere partijen er gebruik van zullen maken, wat voor nieuwe features en een hogere adoptiegraad moet zorgen.

De eerste versie van OpenSK werkt met een dongle van Nordic Semiconductor. Gebruikers kunnen zo hun eigen "developer key" maken. Google stelt dat het bewust voor de dongle van Nordic als referentiehardware heeft gekozen omdat het alle transportprotocollen ondersteunt, een aparte "hardware crypto core" heeft en betaalbaar is. Hoewel het nu mogelijk is om met de OpenSK-firmware en dongle een FIDO-authenticator te maken, waarschuwt Google dat de eerste versie van de firmware als een experimenteel onderzoeksproject moet worden beschouwd en alleen voor test- en onderzoeksdoeleinden is bedoeld.

Image

Reacties (16)
31-01-2020, 10:40 door The FOSS
OpenSK is een in de programmeertaal Rust geschreven opensource-implementatie voor beveiligingssleutels die de FIDO U2F- en FIDO2-standaarden ondersteunt.

In Rust geschreven, mooooi!
31-01-2020, 11:44 door Anoniem
Diversiteit in het aanbod van hardware security keys is goed, helemaal mooi dat de code ook nog open source is!

Hopelijk zal dit project op korte termijn uitgebreid worden met ondersteuning voor chips die hardwarematig EdDSA kunnen doen, dan pak ik mijn portomonnee alvast.
31-01-2020, 12:30 door Anoniem
Door The FOSS:
OpenSK is een in de programmeertaal Rust geschreven opensource-implementatie voor beveiligingssleutels die de FIDO U2F- en FIDO2-standaarden ondersteunt.
In Rust geschreven, mooooi!
Dan weten we zeker dat het in ieder geval met de politieke affiliaties van de broncode wel goed zit.
31-01-2020, 19:02 door Anoniem
Wat zal er nu weer naar Google lekken via deze firmware?
31-01-2020, 21:16 door Anoniem
Door Anoniem: Wat zal er nu weer naar Google lekken via deze firmware?
Jij snapt niets van deze materie hè.. geeft niets hoor. Stel alleen de volgende keer een gerichte vraag en veel mensen zijn bereid om hem te beantwoorden.
31-01-2020, 21:24 door Anoniem
Google is niet de eerste - kijk gerust maar 's naar de solokeys. Dat ding is ook fido2 compliant - en dat is denk ik nog iets opener dan bij Google (een bedrijf dat laag in mijn achting staat - do no evil da's lang geleden).
In de solokeys zijn europeanen mee bezig - bij google wellicht niet - en dan kan uncle Sam (Trump in dit geval) zich veel te hard bemoeien. Willen we dat?
31-01-2020, 23:56 door Anoniem
Door Anoniem: Wat zal er nu weer naar Google lekken via deze firmware?
Het is open source dus dat kun je helemaal zelf uit (laten) puzzelen.
01-02-2020, 12:32 door Anoniem
Door Anoniem: Wat zal er nu weer naar Google lekken via deze firmware?
Nu de firmware open source is, zou de vraag makkelijker moeten beantwoord kunnen worden. Maar wie neemt er de moeite om een google broncode te lezen?? Misschien komt er ergens een review tevoorschijn.

Gaat google zijn open source project wel up-to-date houden? Dat betwijfel ik sterk. bv Telegram neemt af en toe ook niet bepaald de moeite om zijn open source code up-to-date te houden op github. Het had eens maanden geduurt vooralleer het op github stond, waardoor ik mij afvraag wat er allemaal afspeelde de versie ervoor.
01-02-2020, 22:34 door Anoniem
Door Anoniem:Nu de firmware open source is, zou de vraag makkelijker moeten beantwoord kunnen worden. Maar wie neemt er de moeite om een google broncode te lezen?? Misschien komt er ergens een review tevoorschijn
Dat is nu het probleem, iedereen heeft de mond vol van open source en dat dus veilig is, omdat " iedereen" dat kan bekijken, maar niemand doet dat. Alleen hackers zijn erin geïnteresseerd.
01-02-2020, 23:12 door Anoniem
Door Anoniem: Google is niet de eerste - kijk gerust maar 's naar de solokeys. Dat ding is ook fido2 compliant - en dat is denk ik nog iets opener dan bij Google (een bedrijf dat laag in mijn achting staat - do no evil da's lang geleden).
In de solokeys zijn europeanen mee bezig - bij google wellicht niet - en dan kan uncle Sam (Trump in dit geval) zich veel te hard bemoeien. Willen we dat?

Misschien heeft google daarom het wel openbaar gemaakt, anders flopt het.
02-02-2020, 07:38 door Anoniem
Leuk idee. Jammer dat het van choogel komt. Daarmee niet geschikt voor gebruik.
02-02-2020, 09:02 door Anoniem
Door Anoniem: Leuk idee. Jammer dat het van choogel komt. Daarmee niet geschikt voor gebruik.
Oi, daar zeg je iets interessants. Definieer 'geschikt voor gebruik' dan eens?
Of weet je niets van de wereld om je heen en zit je gewoon te trollen?
02-02-2020, 09:20 door Anoniem
Door Anoniem:
Door Anoniem:... Maar wie neemt er de moeite om een google broncode te lezen?? Misschien komt er ergens een review tevoorschijn
Dat is nu het probleem, iedereen heeft de mond vol van open source en dat dus veilig is, omdat " iedereen" dat kan bekijken, maar niemand doet dat. Alleen hackers zijn erin geïnteresseerd.
Het heeft geen zin als zes miljard mensen naar dezelfde broncode kijken.
Een paar met verstand van achterdeuren, anderen kijken naar veiligheidslekken, nog anderen stellen verbeteringen voor...
Als er wereldwijd enkele tientallen mensen serieus induiken kan er zomaar iets moois uit komen.
03-02-2020, 06:51 door Anoniem
Door Anoniem:
Door Anoniem:Nu de firmware open source is, zou de vraag makkelijker moeten beantwoord kunnen worden. Maar wie neemt er de moeite om een google broncode te lezen?? Misschien komt er ergens een review tevoorschijn
Dat is nu het probleem, iedereen heeft de mond vol van open source en dat dus veilig is, omdat " iedereen" dat kan bekijken, maar niemand doet dat. Alleen hackers zijn erin geïnteresseerd.
Dat volop naar broncode wordt gekeken als die maar beschikbaar is is een mythe, maar als je daaruit concludeert dat helemaal niemand ooit naar de broncode zal kijken dan geloof je in net zo'n grote mythe.

Hoe belangrijk een stuk software is doet ertoe. Als ik een hobbyprojectje dat geen hond interesseert op github zet dan zal dat niet veel aandacht krijgen. Een project dat iets essentieels doet loopt een aanzienlijk grotere kans dat anderen ernaar kijken en bijdragen leveren. Dat is geen garantie, maar het is voorgekomen dat software die overal werd gebruikt en desondanks bitter weinig aandacht en hulp ontving opeens die aandacht en bijdragen volop kreeg op het moment dat er iets goed mis ging. En dan doet het er opeens wel degelijk toe dat de broncode openbaar is, er komt een reactie die met closed source domweg niet mogelijk was geweest.

Een 2FA-implementatie van een reus als Google loopt een behoorlijk grote kans om wél aandacht te trekken van mensen met de expertise om het te beoordelen, zoals cryptografen, domweg omdat Google zo groot is en zo'n implementatie een grote kans loopt breed ingezet te worden. Juist cryptografen hameren op de openbaarheid van algoritmes en implementaties van die algoritmes omdat de materie zo complex is dat geen enkele gesloten groep goed genoeg is om alle zwakheden te bedenken en onderkennen.

Dus is het goed dat Google dit doet. Niet omdat openbaarmaken garandeert dat alles goed gaat, maar eerder omdat de zaak gesloten houden de kans vergroot dat er dingen misgaan.
03-02-2020, 09:39 door Anoniem
Als ik het goed heb begrepen, moet de gebruiker een sleutelpaar maken (private en publieke sleutel) en de publieke sleutel daarvan wordt dan opgenomen in de structuur op de website van Gmail. Als je dan inlogt en je wachtwoord hebt ingevoerd, wordt de digitale handtekening van private sleutel op de dongle met die van de publieke sleutel op de website vergeleken. Dit is dus het principe zoals PGP ook werkt.
03-02-2020, 22:49 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:Nu de firmware open source is, zou de vraag makkelijker moeten beantwoord kunnen worden. Maar wie neemt er de moeite om een google broncode te lezen?? Misschien komt er ergens een review tevoorschijn
Dat is nu het probleem, iedereen heeft de mond vol van open source en dat dus veilig is, omdat " iedereen" dat kan bekijken, maar niemand doet dat. Alleen hackers zijn erin geïnteresseerd.
Dat volop naar broncode wordt gekeken als die maar beschikbaar is is een mythe, maar als je daaruit concludeert dat helemaal niemand ooit naar de broncode zal kijken dan geloof je in net zo'n grote mythe.

Hoe belangrijk een stuk software is doet ertoe. Als ik een hobbyprojectje dat geen hond interesseert op github zet dan zal dat niet veel aandacht krijgen. Een project dat iets essentieels doet loopt een aanzienlijk grotere kans dat anderen ernaar kijken en bijdragen leveren. Dat is geen garantie, maar het is voorgekomen dat software die overal werd gebruikt en desondanks bitter weinig aandacht en hulp ontving opeens die aandacht en bijdragen volop kreeg op het moment dat er iets goed mis ging. En dan doet het er opeens wel degelijk toe dat de broncode openbaar is, er komt een reactie die met closed source domweg niet mogelijk was geweest.

Een 2FA-implementatie van een reus als Google loopt een behoorlijk grote kans om wél aandacht te trekken van mensen met de expertise om het te beoordelen, zoals cryptografen, domweg omdat Google zo groot is en zo'n implementatie een grote kans loopt breed ingezet te worden. Juist cryptografen hameren op de openbaarheid van algoritmes en implementaties van die algoritmes omdat de materie zo complex is dat geen enkele gesloten groep goed genoeg is om alle zwakheden te bedenken en onderkennen.

Dus is het goed dat Google dit doet. Niet omdat openbaarmaken garandeert dat alles goed gaat, maar eerder omdat de zaak gesloten houden de kans vergroot dat er dingen misgaan.

Niet alleen voor het goede doel.

De security wereld, en het circus van alle conferenties zit nu aardig vol met bedrijven, consultants en researchers die bezig zijn met maar één ding : scoren om zichzelf zichtbaar (en dus verkoopbaar) te maken tussen al die andere bedrijven en researchers.

Dat geeft een hoop hinderlijk getoeter om de een of andere bug maar te kunnen koppelen aan "medisch" "nucleair" "militair" "financial" , want dat valt net wat meer op.

En 'google' en speciaal 'google authenticator' _is_ een grote naam. Als je die 'scoort' ben je een baasje in security land.
Heel wat meer dan wanneer je een 1e jaars studentenproject van github trekt en analyseert - of een ali express draadloze deurbel van de buurman laat rinkelen.

Ik verwacht dus dat - vanwege 'het is van google en als we iets vinden levert dat een mooie publicatie/presentatie' er inderdaad door goede researchers grondig naar gekeken zal worden.
Ik vrees alleen dat negatieve resultaten helaas weinig of niet naar voren zouden komen. ('ons team van pentesters van <grote naam abc> heeft drie maanden continu gezocht maar niks gevonden' - Ook dat zou wat zeggen).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.