Anuncio de nuestro conjunto de pruebas de claves de seguridad de código abierto


El protocolo que alimenta las llaves de seguridad

Debajo del capó, las llaves de seguridad de roaming funcionan con la FIDO Alliance Protocolos CTAP, la parte de FIDO2 que garantiza una integración perfecta entre su navegador y la clave de seguridad. Mientras que la experiencia del usuario de la clave de seguridad pretende ser sencilla, los propios protocolos CTAP son bastante complejos. Esto se debe a la amplia gama de casos de uso de autenticación que aborda la especificación: incluidos sitios web, sistemas operativos y credenciales empresariales. A medida que la especificación del protocolo continúa evolucionando (ya existe un borrador de CTAP 2.1), es probable que aparezcan casos extremos que pueden causar problemas de interoperabilidad.

Construyendo una suite de pruebas

Encontramos muchos de esos casos complicados al implementar nuestro firmware de clave de seguridad de código abierto OpenSK y decidió crear un conjunto de pruebas completo para garantizar que todas nuestras nuevas versiones de firmware los manejen correctamente. Durante los últimos dos años, nuestro conjunto de pruebas creció para incluir más de 80 pruebas que cubren todas las características de CTAP2.

Fortalecimiento del ecosistema

Una de las principales fortalezas del ecosistema de claves de seguridad es que FIDO Alliance es un consorcio de la industria con muchos proveedores participantes que brindan una amplia gama de claves de seguridad distintas que satisfacen las necesidades de todos los usuarios. La Alianza FIDO ofrece pruebas para la conformidad con las especificaciones actuales. Esas pruebas son un requisito previo para aprobar el pruebas de interoperabilidad que son necesarios para que una llave de seguridad obtenga la certificación FIDO. Nuestro conjunto de pruebas complementa esas herramientas oficiales al cubrir escenarios adicionales y casos de esquina en el mercado que están fuera del alcance del programa de pruebas de FIDO Alliance.

En marzo de 2020, demostramos nuestro conjunto de pruebas a los miembros de la Alianza FIDO y ofrecimos extender las pruebas a todas las claves FIDO2. Recibimos una respuesta abrumadoramente positiva de los miembros y hemos estado trabajando con muchos proveedores de claves de seguridad desde entonces para ayudarlos a hacer el mejor uso de nuestro conjunto de pruebas.

En typical, la ronda inicial de pruebas en varias claves ha arrojado resultados prometedores y estamos colaborando activamente con muchos proveedores en la construcción de esos resultados para mejorar las claves futuras.

Código abierto de nuestro conjunto de pruebas

Hoy estamos haciendo nuestra suite de pruebas de código abierto para permitir que los proveedores de claves de seguridad la integren directamente en su infraestructura de pruebas y se beneficien de una mayor cobertura de pruebas. En el futuro, estamos entusiasmados de seguir colaborando con FIDO Alliance, sus miembros, la industria de claves de seguridad de components y la comunidad de código abierto para ampliar nuestro conjunto de pruebas para mejorar su cobertura y convertirlo en una herramienta integral en la que la comunidad puede confiar para garantizar interoperabilidad clave. A largo plazo, esperamos que el fortalecimiento de las capacidades de prueba de la comunidad beneficie en última instancia a todos los usuarios de claves de seguridad al ayudarles a garantizar que tengan una experiencia consistente sin importar qué claves de seguridad estén usando.

Agradecimientos

Agradecemos a nuestros colaboradores: Adam Langley, Alexei Czeskis, Arnar Birgisson, Borbala Benko, Christiaan Brand name, Dirk Balfanz, Guillaume Endignoux, Jeff Hodges, Julien Cretin, Mark Risher, Oxana Comanescu, Tadek Pietraszek y todos los proveedores de claves de seguridad que trabajaron con nosotros .




Enlace a la noticia original