domingo, 28 de mayo de 2017

Hardware tokens para manejar la seguridad digital

Igual que existe el DNIe que guarda en su interior un par de certificados digitales para poder firmar y cifrar archivos y autenticar la identidad, también existen dispositivos USB que permiten hacer lo mismo usando protocolos como OpenPGP.

He estado buscando un rato posibles dispositivos para para dichos usos así como utilización de contraseñas seguras y de manera segura.

Con lo que he hurgado en Internet estos han sido los resultados obtenidos:

YubiKey es el token más conocido, se vende también en Amazon. Requiere de software para su uso y está empaquetado al menos en Ubuntu y Debian. Hay varios modelos: USB, con NFC, USB Type-C, tamaño compacto, normal, etc.
Soporta protocolos de contraseña de un sólo uso, almacenamiento de certificados X.509, etc.
Su última generación, YubiKey 4, utiliza software de código cerrado. El diseño del dispositivo nunca ha sido libre o abierto.
Es el más veterano y el que a día de hoy ofrece mayor facilidad de uso junto con NitroKey.

NitroKey ofrece la misma funcionalidad que el YubiKey, con el añadido de tener un diseño abierto del hardware y el software. Dispone de una versión con almacenamiento cifrado. De igual modo que el YubiKey, el software de NitroKey también está disponible en los repositorios de Ubuntu.

USBArmory es un dispositivo de seguridad con múltiples funciones. Elige qué instalar y cómo quieres configurarlo. Monedero de bitcoin, almacenamiento cifrado, gestor de contraseñas, contraseñas de un solo uso, OpenPGP, enrutador de VPN y Tor, etc. Es un ordenador de bolsillo. En el repositorio Github del fabricante (Inverse Path) hay varias guías de las distintas maneras de aprovechar el USB Armory. Es un ordenador del tamaño de un USB: ARM Cortex A8 800 Mhz + TrustZone, 512 MiB DDR3 y ranura MicroSD. Los esquemas de la PCB están disponibles para editar con KiCad.

FST-01 viene a ser un USB Armory pero de menor capacidad. Utiliza un microcontrolador por lo que no es tan genérico como USB Armory: ARM Cortex M3 72MHz, 128 KiB de ROM y 20 KiB de RAM. El SO que corre es Gnuk. Este chisme es equivalente a un YubiKey o NitroKey.

Gnuk es un firmware para dispositivos empotrados como el FST-01. Permite utilizar los microcontroladores disponibles en una memoria USB para usos de cryptotoken. Hay disponibles esquemas de los dispositivos para KiCad.

La OpenPGP card sirve para generar claves privadas en su interior y usarlas con un lector de tarjetas como una tarjeta normal de seguridad, pero con OpenPGP. También permite importar claves privadas a la tarjeta.

De todos estos dispositivos el más interesante sin duda es USB Armory, seguido por Nitrokey por si no quieres liarte la manta a la cabeza. Gnuk/FST-01 es de manitas. Relación utilidad/precio baja.

No hay comentarios:

Publicar un comentario