An update on improving passkey support in Linux
a year ago
- #Linux
- #WebAuthn
- #Security
- 作者阐述了其在Linux系统上实现通行密钥支持的工作,这一灵感源于世界密码日各大科技公司的相关公告。
- WebAuthn认证体系包含四个角色:依赖方(网站)、客户端(浏览器/应用)、平台(操作系统API)以及认证器(安全密钥或设备)。
- 安全模型通过确保用户请求经由依赖方应用验证,重点防范网络钓鱼攻击。
- Windows、macOS/iOS和Android均已集成平台API与认证器,而Linux缺乏原生支持导致用户体验碎片化。
- 现有Linux解决方案要求浏览器直接处理WebAuthn请求,既绕过了沙箱保护,又缺失设备绑定的通行密钥功能。
- 作者开发的linux-credentials项目旨在构建Linux门户API,支持USB和混合/caBLE认证器,并计划利用TPM芯片实现平台认证器。
- 技术挑战包括来源检查、应用身份验证,以及防范内核入侵的凭证访问加固。
- 提出的解决方案涵盖完整性摘要缓存(验证软件包签名)、SELinux/AppArmor策略,并探索类似Windows VSM的基于虚拟化的安全(VBS)机制。
- 未来规划包含凭证管理、密码/TOTP标准化接口,以及跨平台通行密钥同步功能。
- 作者诚邀开发者协作并寻求赞助以推动项目发展。