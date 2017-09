De serie chips van Intels nieuwste architectuur heeft de authenticatiefeature Universal Second Factor (U2F) ingebakken. Tweefactor-authenticatie (2FA) wordt al jaren geadviseerd als aanvullende beveiligingslaag voor e-mail, opslag en andere data online.

Het systeem bestaat meestal uit een tweede code die bij het inloggen wordt gegenereerd op of verzonden naar een tweede toestel om je te kunnen verifiëren bij het eerste apparaat. Met de nieuwe hardwarebeveiliging, kunnen softwaremakers een knop toevoegen aan de primaire interface waar gebruikers op kunnen klikken om de 2FA-transactie uit te voeren.

Van SGX naar U2F

Die ondersteuning is niet helemaal nieuw, want in de vorige generatie Kaby Lake werd Software Guard Extensions (SGX) geïntroduceerd. Dat is in feite een geïsoleerd deel van de chip waar encryptiesleutels worden opgeslagen. Om ongeautoriseerde toegang middels aanvallen te voorkomen, werd Microsofts concept Haven gebruikt, een gecontaineriseerde aanpak waardoor er maar heel beperkt gecommuniceerd kan worden met het geïsoleerde deel.

SGX wordt daarom gebruikt in diverse cloudomgevingen, om sleutels beveiligd op te kunnen slaan, maar wel op zo'n manier dat er geautomatiseerd toegang tot kan worden verkregen. Dat klinkt paradoxaal, maar de techniek blijkt, hoewel niet waterdicht, te werken (zie Black hat-filmpje hieronder) voor cloudimplentaties. Slechts twee publieke diensten hebben SGX-ondersteuning aangekondigd: Dropbox en Duo Security lieten eerder dit jaar proof-of-concepts zien.

