Yuriy Ackermann

yuriy@webauthn.works

@herrjemand  

FIDO Device Onboarding
безопасная критическая IoT инфраструктура и не только

Коротко о FIDO Alliance

• Организован в 2013 году
• Консорциум с ~400 компаниями
  • Apple, Google, MSFT, Yubico, Visa, Mastercard, Hideez etc.
• Цель: протоколы фишинг безопасной, беспарольной аутентификации
  • U2F, UAF, FIDO2, WebAuthn
• Около миллиарда пользователей на сегодняшний день
• !!!ВНЕЗАПНО ВЛЕЗ В IOT!!!

В чем собственно проблема?

• Переиспользование учетных записей - admin:admin
• Сложность интерфейсов настройки - попробуй настроить свой робопылесос и получи докторскую
• Отсутствие стандартизированных интерфейсов конфигурации - это только работает через один сервер в Китае и фиг ты что-то поменяешь
• Отсутствие системы эффективной передачи прав на устройство, и отсутствие цепочки доверия от производителя до владельца
• Отсутствие эффективных механизмов ре-инвентаризации

• Протокол безопасной "адаптации" устройства
• Возможность автоматизированной конфигурации устройства на лету
• Механизм управления владением "ваучер"
• Механизм инъекции конфигурации на лету
• Полностью бесконтактная конфигурация
• Приватность и безопасность

Собственно FDO

• Обмен по HTTP/HTTPS(BLE/NFC/USB/Zigbee в будующем)
• CBOR для кодировки структур
• ES256/384, AES-CBC или AES-GCM, SHA-256/384
• ECDH, KEX RSA, etc
• EPID от Intel
• TPM, TEE и т.д и т.п
• В целом легкий и современный протокол

Технические аспекты

• Спецификация: https://fidoalliance.org/specs/FDO/fido-device-onboard-v1.0-ps-20210323/
• Референс имплементация: https://github.com/secure-device-onboard/pri-fidoiot
• Железный C код: https://github.com/secure-device-onboard/client-sdk-fidoiot
• Хороший обзор FDO: https://www.redalertlabs.com/blog/top-10-things-you-should-know-about-fido-device-onboarding-fdo

Ресурсы