Geekly articles weekly

Passwortlose Authentifizierung und andere implizite Funktionen digitaler Zertifikate

In der modernen Welt wird die Kryptographie im Bereich der Internetkommunikation und in verschiedenen Bereichen der beruflichen Tätigkeit aktiv eingesetzt. Sichere E-Mails und Workflows können durch Verschlüsseln von Nachrichten oder Dateien und Generieren digitaler Signaturen erreicht werden.



Webbrowser und Server verwenden die Public-Key-Infrastruktur (PKI) zur Authentifizierung und zum Schutz der Sitzung. Zusätzlich zum Kennwortsystem (der Benutzer kennt das geheime Kennwort, das er der Site vorlegt) werden Client-SSL-Zertifikate für die Autorisierung im modernen Internet verwendet (Secure Sockets Layer - Ebene sicherer Sockets). Der Benutzer kauft ein Zertifikat, das von einem vertrauenswürdigen Autorisierungscenter signiert wurde, und autorisiert damit an verschiedenen Standorten im Internet.

Ein digitales Zertifikat ist ein digitales Dokument, das einem bestimmten Benutzer oder einer bestimmten Anwendung einen öffentlichen Schlüssel zuordnet. Als Bestätigung der Authentizität eines digitalen Zertifikats wird häufig die digitale Signatur eines vertrauenswürdigen Zentrums - einer Zertifizierungsstelle (CA) - verwendet.

Da die Liste der CA-Funktionen die Bildung von Zertifikaten und Zertifikatsperrlisten umfasst, ist eine Zertifizierungsstelle die Hauptkomponente in solchen Systemen. Die erheblichen Kosten für Zertifikate und deren Wartung, die ständige Abhängigkeit vom Zertifizierungszentrum und die Schwierigkeit, unter Beteiligung eines Autorisierungszentrums ein Zertifikat zu erstellen, machen diesen Authentifizierungsmechanismus jedoch praktisch nicht für den Massengebrauch anwendbar, weshalb er in Unternehmensnetzwerken nur begrenzt verbreitet ist und der Öffentlichkeit nahezu unbekannt ist.

Einer der Mitbegründer des Kryptowährungsnetzwerks "Emercoin", über das wir bereits in unserem Blog geschrieben habenDer Entwickler Oleg Khovaiko schlug eine Interpretation des SSL-Protokolls vor, für die keine Zertifizierungsstelle erforderlich ist: Das emcssl-Protokoll bietet Möglichkeiten für ein dezentrales Authentifizierungssystem. Emcssl verlagert den Fokus des Authentifizierungsprozesses auf den Benutzer, wodurch Benutzer unabhängig voneinander identifizierende Daten generieren und verwalten können.

Emcssl


Emcssl ist ein dezentraler kennwortloser Authentifizierungsdienst, bei dem jeder sein eigenes Zertifikat erstellen kann. Die Emercomin-Blockchain fungiert als Autorisierungsbehörde.

Emcssl verwendet Client-SSL-Zertifikate, die zum einen eine vereinfachte Client-Autorisierung und zum anderen die Erstellung eines verschlüsselten sicheren Kommunikationskanals mit dem Server ermöglichen - mit anderen Worten, eine sichere Verbindung.

Im Gegensatz zu anderen SSL-Systemen können Clients mit emcssl ohne Einschränkungen und ohne Interaktion mit anderen schnell, unabhängig ein Zertifikat erstellen und nach eigenem Ermessen aktualisieren. Ein einzelnes Client-SSL-Zertifikat kann für die Autorisierung auf mehreren im Authentifizierungssystem enthaltenen Servern wiederverwendet werden, ohne die Sicherheit zu beeinträchtigen. Für einen vollwertigen Vorgang im Internetbereich benötigt ein Benutzer daher nur ein Zertifikat, was den Zugriff auf Konten radikal vereinfacht und das Speichern von Dutzenden von Kennwörtern überflüssig macht. Das Zertifikat besteht aus einem öffentlichen Teil und einem privaten Schlüssel, der nur dem Benutzer bekannt ist.

Wie funktioniert emcssl?



Um emcssl verwenden zu können, müssen Sie das Programm ausführen: 1) ein persönliches SSL-Zertifikat erstellen, 2) eine „digitale Signatur“ des Zertifikats in EmerCoin NVS veröffentlichen und 3) das Zertifikat in den Browser hochladen. Die ersten drei Schritte werden nur einmal ausgeführt.

Außerdem können Sie zu jeder Site gehen, die dieses Autorisierungssystem unterstützt, und sich weiterhin vollautomatisch ohne Benutzernamen und Passwort (Ihr Browser hat bereits für Sie signiert) in Ihrem Konto anmelden. Wenn Sie zuvor noch kein Konto auf dieser Site hatten, können Sie auf der Grundlage des Zertifikats buchstäblich mit einem Tastendruck ein neues Konto erstellen. Das Benutzerprofil auf dem Server wird automatisch mit den Daten gefüllt, die Sie beim Generieren des Zertifikats für erforderlich erachtet haben.

Wie interagiert der Server mit dem Zertifikat?



Wenn ein Browserbenutzer mit einem Zertifikat eine Site besuchen möchte, auf der sein Konto bereits vorhanden ist, muss der Client auf der Site ein Client-Zertifikat vorlegen.

  1. Beim ersten Besuch der Website fragt der Browser den Benutzer, welches Zertifikat für die Autorisierung verwendet werden soll. Der Benutzer wählt ein Zertifikat aus und der Browser merkt sich, dass das entsprechende Zertifikat diesem Server vorgelegt werden soll.
  2. Nachdem der Server ein Zertifikat erhalten hat, überprüft er zunächst die Signatur des Zertifikats. Eine erfolgreiche Überprüfung der Signatur zeigt, dass das Zertifikat für das emcssl-System generiert wurde. Die restlichen Prüfungen folgen später.
  3. Außerdem generiert der Server eine Zufallszahl, verschlüsselt sie in einem öffentlichen Schlüssel im präsentierten Zertifikat und sendet sie an den Browser. Dies ist das Einmalkennwort für diese Verbindung.
  4. , .
  5. https- . , , . .
  6. , , . , , -. , – , . , , .

Wenn ein Angreifer ein anderes Zertifikat mit derselben Seriennummer wie Ihr generiert, kann er nicht dieselbe Prüfsumme herunterladen, da diese bereits vergeben ist. Als Ergebnis aller Überprüfungen, die zusammen Sekundenbruchteile dauern, stellt der Server sicher, dass der eingehende Client: über ein emcssl-Zertifikat verfügt, einen geheimen Schlüssel besitzt, die entsprechende Seriennummer des Zertifikats besitzt und infolgedessen den Zugriff auf das Konto öffnet.

Eine Funktion des Systems ist die Tatsache, dass jeder, der Zugriff auf einen Browser mit einem heruntergeladenen Zertifikat hat, alle Schlüssel für alle Konten besitzt. Falls Sie einen Laptop oder ein Tablet gestohlen haben, sollten Sie so schnell wie möglich ein neues Zertifikat erstellen und dessen digitale Signatur in die Emercoin-Blockchain hochladen. Dieser Schritt macht das gestohlene Zertifikat automatisch ungültig. Glücklicherweise muss in diesem Fall nur ein Zertifikat ersetzt werden, nicht Dutzende von Passwörtern.

Dieses System autorisiert nur den Browser und macht die Netzwerkverbindung sicher, autorisiert jedoch nicht den Betreiber. Für die Überprüfung kritischer Dienste ist es besser, die Multi-Faktor-Authentifizierung zu verwenden.

Das emcssl-System fügte sich erfolgreich in die Arbeitsumgebung des HashFlare-Dienstes ein - wir haben es in unseren Miner-Kontrollfeldern implementiert. Mithilfe der emcssl-Technologie in der HashFlare Miner-Verwaltungsoberfläche können Sie sich mit denselben von emcssh generierten Benutzerzertifikaten sicher authentifizieren.

Da das Client-Zertifikat in der persönlichen Geldbörse des Benutzers in der Emercoin-Blockchain generiert wird, sofern das gesamte System in die Benutzeroberfläche der Miner-Verwaltung integriert ist, wird eine geschlossene Schleife für das Emercoin-Solo-Mining angezeigt, in der die emercoin-Geldbörse direkt in die Miner-Datei eingebettet ist.

Wie fange ich an?


Alle Software ist kostenlos. Das Paket zum Generieren von Client-Zertifikaten befindet sich hier: pool.emercoin.com/emcssl Dort können Sie auch auf der Testseite den Betrieb Ihres Zertifikats überprüfen.

Source: https://habr.com/ru/post/de386023/

More articles:


All Articles