Googleのパスワードレスエコシステムは、強力なクラウドサイドコンポーネントに依存しており、これが「パスワードレス信頼」の場所を変更する可能性があります。このシフトにより、現実世界でのアカウント乗っ取りが新たな攻撃ベクトルを開く可能性があります。
Google Authenticatorのクラウド認証子
ユーザーがデスクトップでGoogle Password Manager (GPM) パスキーを有効にすると、Chromeは静かにデバイスをクラウドベースの認証子にオンボードします。この認証子はenclave.ua5v[.]comで動作しています。
ブラウザは、TPMバックアップの2つの鍵ペアを生成します:デバイスを表すアイデンティティキーと、Windows Helloや類似のローカルアンロック方法によってゲート制御されるユーザー検証(UV)キー。
クラウド認証子との通信
- Chromeはデバイスをクラウドサービスに登録し、これらの鍵の公開部分とデバイス識別子を送信します。
- クラウド認証子はそれらのハードウェアバインド公開鍵を保存し、シークレットを暗号化するためのデバイス固有のラッピングキーを作成します。
このハイブリッドモデルでは、信頼がハードウェアに固定されますが、クラウドで調整されます。最初に登録されたデバイスでは、ChromeとGoogle認証子はさらにアカウントレベルのシークレットを確立します。
セキュリティドメインシークレット
ユーザーがGoogle Password Manager PINを作成すると、これが同じセキュリティドメインにデバイスを追加または回復するためのゲートになります。GoogleのTrusted VaultとChrome Syncインフラストラクチャはこれらの要素を結びつけます。
安全なトンネルとデバイスバインド
すべてのデバイスクラウドトラフィックは、Google OAuth2、WebSockets、Noiseフレームワーク、TPMバインド署名に基づく専用セキュア通信プロトコルでラップされます。
攻撃ベクトル
この設計により、パスワードレス展開が複雑な分散システムとして扱われるべきであり、モニタリングや強化、アーキテクチャレビューをこれらの隠れたパスキー制御プレーンまで拡張する必要があります。