Помимо анонса первоначальной поддержки Android и Chrome, Google сегодня подробно рассказал, как ключи доступа на Android будут синхронизироваться с его менеджером паролей.
Один ключ доступа идентифицирует конкретную учетную запись пользователя в некоторой онлайн-службе. У пользователя есть разные ключи доступа для разных служб. Операционные системы пользователя или программное обеспечение, аналогичное современным менеджерам паролей, обеспечивают удобное управление ключами доступа.
Это будущее без паролей, к которому стремится индустрия, делает сильный акцент на вашем телефоне и учетной записи идентификации/синхронизации от Apple (ID), Google или Microsoft. Для аутентификации и входа в систему используются биометрические данные (отпечаток пальца или лицо) или код доступа. Между тем, эта учетная запись будет использоваться, если вы настроите новое устройство или потеряете существующее.
Основным компонентом ключа доступа является криптографический закрытый ключ. В большинстве случаев этот закрытый ключ хранится только на устройствах пользователя, таких как ноутбуки или мобильные телефоны. При создании ключа доступа соответствующий открытый ключ хранится онлайн-службой. Во время входа в систему служба использует открытый ключ для проверки подписи от закрытого ключа. Эта подпись может исходить только с одного из устройств пользователя.
На Android ключи доступа будут резервироваться и синхронизироваться с Google Password Manager, который компания в последнее время делает все более заметным. Ключи доступа могут существовать на нескольких устройствах (телефон + планшет, старый + новый телефон и т. д.), поскольку «один и тот же закрытый ключ может существовать на нескольких устройствах».
С точки зрения защиты «закрытые ключи шифруются при хранении на устройствах пользователя с помощью ключа шифрования, защищенного аппаратно». Ключи доступа также шифруются сквозным шифрованием с помощью Google Password Manager.
При резервном копировании ключа доступа его закрытый ключ загружается только в зашифрованном виде с использованием ключа шифрования, доступного только на устройствах пользователя. Это защищает ключи доступа от самого Google или, например, от вредоносного злоумышленника внутри Google. Без доступа к закрытому ключу такой злоумышленник не сможет использовать ключ доступа для входа в соответствующую онлайн-учетную запись.
Сегодня Google объяснил процесс восстановления, а также опыт настройки нового телефона с ключами доступа. По сути, ключи сквозного шифрования на вашем старом телефоне передаются на новый как часть обычного процесса миграции устройства. Вы должны знать «PIN-код, пароль или графический ключ блокировки экрана старого устройства, которое имело доступ к этим ключам», и быть вошли в ту же учетную запись Google.
Google не знает PIN-коды, пароли или графические ключи блокировки экрана. Данные, которые позволяют Google проверять правильность ввода информации блокировки экрана устройства, хранятся на серверах Google в защищенных аппаратных модулях и не могут быть прочитаны Google или любой другой организацией. Защищенное оборудование также ограничивает максимальное количество попыток ввода, которое не может превышать 10 попыток даже при внутренней атаке. Это защищает информацию блокировки экрана, даже от Google.