Na realidade de hoje, a forma básica para um servidor para autenticar um cliente é através de um sistema de logins e senhas . Estamos todos familiarizados com este sistema, tudo bem. Usando qualquer site ou uma plataforma pela primeira vez, criamos um par de login e senha para confirmar nossas visitas adicionais. Parece muito simples, no entanto, este sistema tem uma série de desvantagens, que todos nós estamos cientes.
Essas desvantagens, senhas, por exemplo fracos, a complexidade do gerenciamento de senhas, a necessidade de manter uma senha separada para cada plataforma ou site, as chances altas para perder ou esquecer senhas, criar uma brecha no sistema, tornando os nossos dados pessoais vulneráveis a acesso não autorizado.
Notícias sobre hacks e hijacks estão vindo com uma regularidade alarmante ultimamente. Ninguém pode estar completamente seguro de que seus dados são seguros, pois a raiz do problema não é o hacking como tal, mas o armazenamento centralizado de dados do usuário, incluindo senhas e hashes de senhas, usado para restaurá-los.
Soluções para proteger os dados do usuário
Para que os pesquisadores garantam um alto nível de segurança dos dados dos usuários, algumas soluções alternativas surgiram. O mais difundido entre eles é SSL (Secure Socket Layer), que fornece verificação de identidade e segurança, para que o usuário sabe que ele está conectado ao site correto e ninguém pode bug sobre ele. É assim que a teoria vai.
Na prática, o SSL parece ser um pouco mais confuso. E esta confusão surge principalmente devido a um grande número de autoridades de certificação , seus erros na verificação de uma validade de endereços para os quais os certificados de segurança são questões e ainda possíveis ataques man-in-the-middle.
No ano passado, a HashCoin começou a brincar com a idéia de criar o primeiro sistema descentralizado de gerenciamento de chaves digitais baseado no Emercoin Blockchain - emCSSL.
Eliminação do canal de autorização central
O EmCSSL é baseado em certificados SSL do cliente, mas também depende da autenticação do cliente. Como resultado, ele fornece um canal criptografado seguro de comunicação com o servidor, tudo em um único pacote. Ao contrário de outros sistemas de SSL, não existe qualquer autoridade de certificação central (CA) - o papel da AC é realizada por o Blockchain do criptomoeda Emercoin descentralizada, que é ideal para o desenvolvimento de um sistema de autorização descentralizada.
"O Emercoin é construído em cima da tecnologia NVS que permite armazenar enormes quantidades de dados, até 20 KB. É suficiente para armazenar dados de certificado ", diz Nikolay Pavlovskiy, CEO da HashCoins. "É possível construir várias soluções tecnológicas em cima do NVS - sistema de nomes de domínio, um sistema de distribuição de chaves públicas SSH e muitos outros".
De acordo com Pavlovskiy, essas soluções têm demonstrado sua eficiência. Ele garante que esta é uma das características distintivas do Emercoin Blockchain o torna ideal para o desenvolvimento de um sistema de autorização descentralizada.
O Emercoin Blockchain serve como um dispositivo de armazenamento confiável para hashes de certificado SSL e fornece um exclusivo IDs de usuário, portanto, oferecendo soluções para dois problemas cruciais. Em primeiro lugar, garante a não divulgação de dados confidenciais do usuário.
Em segundo lugar, elimina a necessidade de centralização, permitindo que o sistema se expanda até o nível global. Dentro do sistema, os certificados SSL do cliente são gerados e atualizados completamente no lado do cliente sem restrições ou necessidade de interação com outra parte.
Vamos analisar o quão boa é a idéia de ter usuários finais responsáveis por sua própria infra-estrutura de segurança?
Como funciona
Assim, o poder vem para as mãos do usuário, como ele é quem é responsável por emitir o certificado de segurança e mantê-lo seguro. Ele recebe um all-in-one passar para todas as plataformas que ele está usando, que não depende de qualquer site, qualquer certificador, basicamente ninguém, mas o usuário. Como exatamente isso funciona?
Quando você visita um site habilitado para emcSSL, o site solicita que seu navegador apresente um certificado de cliente. Se o cliente não tem nenhum certificado ou não apresenta um, o servidor, dependendo das configurações, pode alternar para um sistema de autenticação de senha tradicional ou se recusar a prosseguir.
Se o certificado existir, você enviá-lo eo navegador automaticamente associa o servidor com um certificado. Ao receber um certificado, o servidor, por sua vez, verifica sua assinatura. A confirmação de assinatura bem-sucedida prova que o certificado foi gerado para o sistema emcSSL.
O servidor gera um número aleatório (senha de sessão), criptografa-o com a chave pública do certificado apresentado e o envia para o navegador do usuário. A senha da sessão é estabelecida para esta e somente para esta conexão. O navegador extrai a chave privada e usa-a para descriptografar a senha enviada pelo servidor para estabelecer uma conexão https segura com o servidor.
Neste sistema, a chave privada nunca deixa o computador do utilizador. Mesmo que um certificado seja interceptado enquanto estiver sendo transmitido pela rede, ninguém, a não ser o usuário, pode usá-lo porque um invasor não conhecerá a chave privada.
"No caso de alguém roubar o seu dispositivo, eles podem obter acesso aos sites sob suas credenciais", explica Pavlovskiy. "No entanto, com Emercoin o usuário pode facilmente retirar seu certificado se ele acha que o sistema foi comprometido."
Retirada de um certificado pode ser um problema real em sistemas que não implementar a tecnologia Blockchain . Um certificado autoriza o dispositivo do usuário. Para garantir a segurança de dados importantes, por exemplo, sobre as finanças, é necessário usar camadas de segurança adicionais.
Arquitetura blockchain emcSSL
Como o servidor se comporta quando se certifica de que o cliente tem uma chave privada válida? Ele verifica o certificado contra as informações no Emercoin Blockchain.
Para este efeito, extrai o número de série do certificado e executa uma pesquisa EMC NVS neste número de série para obter um hash de certificado que o utilizador carregou para Blockchain. O servidor calcula uma soma de verificação para o certificado recém-recebido contra o número de série correspondente no Blockchain.
Em outras palavras, o servidor confirma que o certificado do cliente, que contém o número de série N - é o mesmo cliente que visitou anteriormente com o mesmo número de série N, porque esse número de série só pode ser registrado uma vez no subsistema NVS da Emercoin. No caso de um atacante gerar outro certificado com o mesmo número de série, eles não seriam capazes de carregar a mesma soma de verificação para o Blockchain, como já é tomada pelo usuário.
Se eles gerarem um certificado com um número de série diferente - ele terá um UserID diferente eo servidor criaria uma conta separada. Além disso, a arquitetura emcSSL Blockchain permite uma retirada rápida de um certificado comprometido e sua substituição imediata ao contrário do CRL e do protocolo OCSP vulneráveis a ataques MITM.
Métodos de implementação
Geralmente, emcSSL é grande e seguro, mas falta um método simples de implementação. "O principal desafio no processo de integração desta solução é garantir um equilíbrio entre segurança própria e conveniência para um usuário", explica Pavlovskiy. "Se você deseja obter um certificado de segurança em um clique, você precisará consultar alguma autoridade. É conveniente, mas não segura. Se você quiser emitir o certificado sozinho, você precisa ser uma pessoa experiente em tecnologia e realizar várias manipulações. "
No momento, o clássico emcSSL opera apenas no Emercoin pool e na Emercoin web wallet. Um dos problemas que gira em torno da integração do emcSSL preocupa-se com requisitos de qualificação bastante restritos aos administradores do site.
"Por essa razão, decidimos criar o Authorizer, pois acreditamos que isso simplificaria significativamente o processo de integração de nossa solução", continua Pavlovskiy. "Vamos dizer que você está executando um site no WordPress, conectá-lo ao emcSSL vai demorar apenas alguns minutos e, basicamente, qualquer pessoa pode fazer isso mesmo não tendo habilidades de programação.
Pavlovskiy diz:
"Agora estamos
focando no desenvolvimento de módulos de autorização para o CMS popular. Módulo
para WordPress é concluído, o próximo seria Drupal e outros. Estamos usando um
padrão oAuth2.0, portanto, não será difícil para programadores experientes para
integrá-lo em seus projetos. Uma vez que o teste for concluído, estamos
planejando adicionar a autorização emCSSL no serviço HashFlare, que tem mais de
500K usuários ativos. "
É difícil dizer quanto tempo levará para a transição para uma autorização sem senha completamente. Neste momento em particular, o projeto do Autorizador é voltado principalmente para o criptocomunidade. Hacks e interceptações de senhas representam um grande problema para criptobusinesses, e HashCoin está tentando chamar a atenção dos líderes da indústria para este problema e pretende cooperar na integração de suas soluções.
Nenhum comentário:
Postar um comentário