最近新闻报道了安全密钥的实现。聚光灯落在了OpenSK上。

安全与反滥用研究负责人Elie Bursztein和谷歌的软件工程师Jean-Michel Picod在他们1月30日的谷歌安全博客上发表了关于OpenSK作为一个研究平台的声明。

它是开源的;它存在的原因是为了改进对FIDO authenticator实现的访问。

谁能受益?研究人员、安全密钥制造商和爱好者可以使用它来帮助开发创新功能。他们说，他们还可以加快安全密钥的采用。

你可以通过在北欧芯片适配器上闪烁OpenSK固件来制作自己的开发人员密钥。除了价格低廉外，我们选择北欧作为初始参考硬件，因为它支持FIDO2提到的所有主要传输协议:NFC、蓝牙低功耗、USB和专用硬件加密核心。

(FIDO2指的是FIDO联盟的一套规范。据FIDO联盟称，“FIDO2密码登录凭证在每个网站上都是独一无二的，永远不会离开用户的设备，也永远不会存储在服务器上。这种安全模式消除了网络钓鱼、各种形式的密码盗窃和重放攻击的风险。”

ZDNet确认，需要构建硬件安全密钥的硬件供应商可以使用OpenSK提供帮助。Catalin Cimpanu说，这将使爱好者和硬件供应商更容易建立自己的安全密钥。

Cimpanu说，OpenSK固件的第一个版本是为北欧的芯片适配器设计的。

XDA开发人员说:“随着这个早期版本的发布，开发人员将能够在一个北欧芯片适配器上flash OpenSK。”

这是铁锈写的。谷歌安全博客的作者说:“Rust强大的内存安全性和零成本的抽象使得代码不易受到逻辑攻击。”

它运行在TockOS上。后者是“一个用于微控制器的安全嵌入式操作系统”，GitHub称。XDA开发人员中的Adam Conway说:“TockOS提供了一个沙箱架构，用于更好地隔离安全密钥applet、驱动程序和内核。”

与此同时，OpenSK的GitHub页面表示:“这个项目是概念验证和研究平台。它仍在开发中，因此有一些限制。”作者就其局限性提出了以下几点看法。

首先,FIDO2。“虽然我们测试并实现了基于已发布的CTAP2.0规范的固件，但我们的实现没有经过审查，也没有进行官方测试，也没有获得FIDO认证。”第二,密码学。他们在Rust中实现了作为占位符的算法;这些实现是研究级质量的代码，没有经过审查。“它们不提供固定时间的保证，也不是为了抵抗侧通道攻击而设计的。”

这篇博文指出，“这个版本应该被视为一个实验研究项目，用于测试和研究目的。”

作者的愿望清单上有什么?“在研究人员和开发人员社区的帮助下，我们希望OpenSK随着时间的推移将带来创新的功能，更强大的嵌入式密码，并鼓励广泛采用可信的抗钓鱼令牌和无密码网络，”他们说。

Cimpanu在ZDNet上说:“谷歌也希望这个项目能被那些还没有在安全关键产品上进行研发的硬件厂商广泛采用。”