查看原文
其他

安全密钥Librem Key问世 | “从一开始就尊重你的自由”

看雪学院 看雪学院 2019-05-26


资讯快读


Purism今天宣布其备受期待的Librem Key安全密钥,为笔记本电脑提供Heads-firmware集成的防篡改启动过程。Purism的Librem Key专为Librem笔记本电脑用户提供开源USB密钥,可为笔记本电脑提供安全加密和数据签名。


与Nitrokey合作开发,Librem Key安全密钥可以存储多达4096位RSA密钥和安全密钥上的512位ECC密钥,以及直接在设备上安全地生成新密钥。Librem Key与最新的Librem 13和15笔记本电脑的安全启动过程集成在一起。


Librem Key旨在让Librem笔记本电脑用户看到有人在启动时篡改了计算机上的软件,Librem Key利用新的Librem 13和Librem 15笔记本电脑中的Heads-enabled TPM(可信平台模块)芯片。根据Purism的说法,当插入时,安全密钥将闪烁绿色以向用户显示笔记本电脑未被篡改,因此他们可以从他们中断的地方继续,并在发生篡改时闪烁红色。


此外,Librem Key还具有通用安全令牌中可用的标准安全功能,例如安全存储用户GPG加密和签名密钥的功能,以便您可以在多个设备上更安全地使用它们,以便为SSH存储身份验证GPG密钥(Secure Shell)会话,支持使用一次性密码(OTP)或双因素身份验证(2FA)登录网站。


(来源:cnBeta.COM)


(图片来自网络)



More

Purism首席安全官Kyle Rankin关于Librem Key有更多的介绍。




什么是USB安全令牌?


安全令牌通常与USB拇指驱动器的大小相当,具备多因素身份验证。在密码登陆遭遇大量攻击的现状下,大多数安全专家建议应该添加除了密码之外的第二种身份验证形式(“2FA”或“多因素身份验证”),于是,当密码遭遇攻击时攻击者就需要妥协第二个因素。

USB安全令牌作为第二个因素很有效,因为它是你“所拥有的东西”,而不是像密码那样只是你“所知道的东西”。除此之外,因为它足够便捷,你可以把它放进口袋里,并且只有在需要登陆安全站点时才使用。


除了多因素身份验证之外,安全令牌还可以经常以防篡改方式存储你的私有GPG密钥使用安全令牌上的密钥,只需在需要加密、解密、签名或验证时插入密钥,然后输入PIN即可解锁密钥。由于密钥保留在安全令牌上,即使攻击者危害你的计算机,他们也无法复制你的密钥(即使你将密钥插入,他们也需要知道你的PIN才能使用它)



为什么选择Librem Key?


Kyle Rankin表示,提供安全令牌的应用商很多,但市场上很少有符合Purism价值观的安全令牌(特别是在自由方面),所以Purism要自己制作。


Kyle Rankin在另一篇文章中表示“你的隐私取决于你的自由。我们相信拥有真正的隐私意味着无论你是否使用自己的设备,你的计算机和数据都应该是安全的。”他认为自由对于安全和隐私至关重要,对于持有最敏感秘密的设备尤其如此。


Purism想要一个使用开放硬件,免费软件固件和免费软件用户应用程序的安全令牌,这就是Purism与Nitrokey合作生产一个“从一开始就尊重你的自由”的安全令牌的原因。


另一个原因是,Purism现有产品的集成将会使客户获得更多安全和方便。当你将安全令牌与笔记本电脑和操作系统捆绑在一起时,会有很多趣味,特别是当固件和用户应用程序是免费软件时,你可以轻松修改它们以添加更多功能。


除了Librem Key可以在任何计算机上执行的安全令牌(GPG密钥存储和多因素身份验证)的标准功能之外,以下是Purism已经与Librem一起研究的Librem笔记本电脑的一些有趣集成选项。对于遭遇平均威胁水平的用户而言,这将使安全性更加便捷:


  •     在启动时插入Librem密钥并自动解密你的硬盘驱动器;

  •     每当你删除Librem Key时自动锁定你的笔记本电脑;

  •     使用Librem Key登录。


(图片来自网络)



让安全简单可证

Librem Key最令人兴奋的亮点之一,是与防篡改Heads BIOS集成,提供最先进的防篡改安全。


若想证明BIOS没有被篡改,你需要在手机上设置一个TOTP应用程序并扫描Heads中的QR码。然后在每次启动时,将屏幕上显示的6位数代码Heads与手机中的代码进行比较。如果代码匹配,则BIOS是安全的。这种方法有效,但有点麻烦,Librem Key可以做得更好。


Purism与Nitrokey合作,专门为Heads增加了Librem Key固件。此自定义固件以及用户空间应用程序允许客户将来自TPM的共享密钥存储在Librem Key而不是电话应用程序上。然后当Heads启动时,如果BIOS没有被篡改,TPM将解锁其共享密钥的副本,Heads将把6位数代码发送到Librem Key。如果代码与Librem Key本身生成的代码匹配,则会闪烁绿灯。如果代码不匹配,则会闪烁红灯。


因此,如果担心有人在你不在时篡改你的计算机,只需插入Librem Key即可启动。安全密钥将闪烁绿色以向用户显示笔记本电脑未被篡改,并在发生篡改时闪烁红色。目前市场上没有其他产品能够提供这种简单但强大的防篡改保护,更不用说尊重客户完全掌控钥匙的自由了。



更强的反拦截保护


Librem Key为需要它的客户提供了更强大的反拦截保护的可能性。Kyle Rankin称将会把Librem Key与运行Heads的笔记本电脑连接起来,然后单独发货。当每个包裹到达时,客户可以立即做一个测试篡改(“绿色是好的,红色是坏的”)。



让企业安全更便捷


许多公司已经将第三方安全令牌纳入工程团队,使软件工程师能安全地签署代码或者作为多因素令牌进行签名。


Librem Key为企业提供了一种方法,将他们习惯使用的所有其他功能、其他安全令牌、以及Librem笔记本电脑上的尖端防篡改启动过程相结合,在一个简单方便的包装中,企业能够完整地控制所有地密钥。


由于固件和用户空间工具是免费软件,无论是使用自己的软件团队还是使用Purism,意味着企业也可以轻松地自定义这些工具来适应企业内部策略。当Heads检测到篡改,并主动阻止员工启动被篡改的机器时,会向员工提供自定义错误页面。



参考来源:

  • Purism

  • cnBeta.COM                        



- End -






往期热门资讯:                                        


扫描二维码,获得更多新鲜资讯!


    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存