FIDO2 USB bezpečnostní klíč

Abstract

FIDO2 je sada standardů založených na asymetrické kryptografii, která umožňuje snadnou, bezpečnou a proti phishingu odolnou autentizaci. Silná podpora ze strany společností Google, Microsoft, Apple a dalších významných technologických firem v rámci FIDO Alliance podporuje adopci FIDO2 v celém odvětví. Tato práce se zaměřuje na vytvoření nového open-source FIDO2 USB hardwarového externího autentizátoru. Nejdříve popisuje relevantní technologie a standardy, zejména Web Authentication a CTAP2. Také zmiňuje existující podobné projekty. Poté přistupuje k samotné implementaci. Dokumentuje rozhodnutí a nejdůležitější části. Výsledná plně funkční implementace splňující CTAP 2.1 specifikaci je veřejně dostupná na GitHubu. Využívá hardwarově akcelerovanou kryptografii na STM32H533, prochází testy shody FIDO2 a je použitelná pro autentizaci na skutečných webových stránkách s podporou WebAuthn. Doufáme, že naše práce přispěje k popularizaci a lepšímu porozumění technologii FIDO2.

FIDO2 is a set of standards based on asymmetric cryptography that enables easy, secure, and phishing-resistant authentication. The strong support from Google, Microsoft, Apple, and other major technology companies in the FIDO Alliance is driving the adoption of FIDO2 across the industry. This thesis focuses on creating a new open-source FIDO2 USB hardware external authenticator. We provide an overview of the relevant technologies and standards, specifically Web Authentication and CTAP2. We also review existing similar projects. Then, we proceed to the actual implementation. We document our decisions and the most important parts. The resulting fully functional CTAP 2.1 compliant implementation is publicly available on GitHub. It utilizes hardware-accelerated cryptography on the STM32H533 MCU, passes FIDO2 conformance tests, and is usable for authentication on real WebAuthn-enabled websites. We hope our work will contribute to the popularization and better understanding of the FIDO2 technology.