FIDO 联盟公布安全密钥传输新标准

FIDO 联盟发布了一份新规范的工作草案，旨在使提供商之间的密钥和其他凭证传输更加安全、方便用户。这些草案由 Apple、Google、1Password、Microsoft 和 Bitwarden 等行业领导者合作制定。

旨在提高密钥的便携性和安全性。密钥是传统密码的现代替代品，已被广泛采用。

这些新规范满足了跨平台传输凭证的标准、安全方法的需求。

https://fidoalliance.org/fido-alliance-publishes-new-specifications-to-promote-user-choice-and-enhanced-ux-for-passkeys/

凭证交换协议(CXP) 和凭证交换格式(CXF) 提出了一种在密码管理器或平台之间传输密钥、密码和其他凭证的统一方法。

此前，此类传输没有安全标准，因此经常以未加密的格式交换密码，带来重大安全风险。

这些规范旨在确保所有传输都默认加密且安全，从而消除这些漏洞。

CXP 定义了一种在两个凭证提供商之间传输凭证的安全方法，即使跨不同的设备或网络条件也是如此。

使用 Diffie-Hellman 密钥交换 (DHKE) 或混合公钥加密 (HPKE)，CXP 可确保在迁移过程中对凭证（例如密钥、密码等）进行安全加密。

该协议允许导入提供商发起凭证请求，然后由导出提供商加密并发送凭证。

凭证以凭证交换格式 (CXF) 定义的格式传输，必须在收到后解密和验证。

通过提供标准化、安全的凭证迁移方法，CXP 解决了长期存在的不安全数据传输和非标准格式问题，促进了跨平台的互操作性。

CXF 定义迁移期间凭证的结构和格式，确保不同提供商之间的互操作性。

CXF 将凭证组织成标准化的数据结构，其中包括帐户详细信息、凭证类型（例如密钥、密码或信用卡信息）和元数据等关键信息。

每个凭证都按照 CXP 指定的加密方案在 zip 存档中安全加密。

这种方法可以降低传输过程中数据丢失或格式不兼容的风险，从而提供一种安全、一致的凭证导出、导入和管理方法。

无论用户是在密码管理器之间还是跨设备移动，CXF 都能确保凭证易于处理，同时保持强大的安全标准。

密钥是一种相对较新的身份验证方法，由于其增强的安全性和用户体验优势而发展势头强劲。

与容易受到网络钓鱼和重复使用的传统密码不同，密钥使用加密密钥，大大降低了凭证被盗的风险。

根据 FIDO 联盟的数据，与使用密码或 SMS OTP 等双因素身份验证方法相比，密钥登录速度快 75%，成功率高 20%。

目前已有超过 120 亿个在线帐户能够使用密钥，因此对安全凭证可移植性的需求已变得至关重要。

FIDO 联盟是密码运动的主要推动者。

该联盟成立于 2013 年，成员包括谷歌、微软和苹果等科技巨头，以及 Dashlane、1Password 和 Bitwarden 等多家领先的密码管理服务。

该组织旨在推广开放、安全的身份验证标准，帮助逐步淘汰密码，转而采用密码等更安全的选项。

新的 CXP 和 CXF 标准反映了联盟致力于减少密钥采用方面的技术障碍。

这些草案的重点是让凭证迁移不仅安全，而且对于希望在不牺牲安全性的情况下切换提供商或平台的用户来说也很容易。

这一点尤其重要，因为同步密钥（存储在云端并可在多个设备上访问）的便利性越来越广泛使用，这使得安全和标准化的数据传输变得更加重要。

目前，这些规范仍处于草案阶段，并接受来自更广泛的安全社区的反馈。

FIDO 联盟鼓励开发人员和利益相关者查看其 GitHub 存储库上的工作草案，并提交评论以帮助在最终确定之前完善标准。

标准获得批准后，将公开提供给凭证提供商实施，从而让用户在平台之间传输凭证时获得无缝、安全的体验。

原文始发于微信公众号（网络研究观）：FIDO 联盟公布安全密钥传输新标准