Google开源可制作硬件金钥的固件专案OpenSK

Google去年开卖自有Titan安全金钥装置后，周四进一步把开发硬件安全金钥的固件以OpenSK专案开源，让独立开发人员或硬件厂商也能开发安全加解密装置。

FIDO安全金钥提供简单方便、免密码的双因素验证（two-factor authentication，2FA）方式，让用户安全登入Google服务（如Gmail、Google Docs等）及其他支援FIDO2/Web Authentication (WebAuthn)协定的网站及社交平台，免于连到钓鱼网站。为加速FIDO 2-based 2FA金钥的普及，Google宣布在GitHub上释出OpenSK专案。

OpenSK是以Rust撰写的开源金钥实作，支援FIDO U2F及FIDO 2标准。Google说希望借由这个开源专案让研究人员、金钥制造商或有兴趣的人，都能投入开发创新功能，加速硬件金钥的普及。

开发人员可以将OpenSK固件刷到Nodic芯片的dongle开发板上。Google解释之所以选择Nordic开发板作为第一个参考硬件，除了价格便宜外，也因为它支援FIDO2组织提及的所有主流传输协定，如NFC、Bluetooth LE、USB及专属的硬件密码核心元件。Google说计划未来也会扩大到其他芯片上。

OpenSK是以Rust撰写而成，跑在TockOS上。Google表示Rust更强的内存安全防护及无成本抽象化（zero-cost abstraction）的特性，让程式码不易受到逻辑层攻击。TockOS具备沙箱架构，可在金钥applet、驱动程式及核心提供隔离，这也是建立深度防护的必要元件。Google本身也为TockOS贡献了储存系统及安全修补程式码。

此外，Google还提供SLA （光立体造型术）3D打印档案，让有意自己开发的人，也能用3D打印机打印出硬件金钥。