Geekly articles weekly

Otentikasi tanpa kata sandi dan fitur implisit lainnya dari sertifikat digital

Di dunia modern, kriptografi secara aktif digunakan di bidang komunikasi internet dan berbagai bidang kegiatan profesional. Email dan alur kerja yang aman dapat dicapai dengan mengenkripsi pesan atau file dan menghasilkan tanda tangan digital.



Dan browser web dan server menggunakan infrastruktur kunci publik (PKI) untuk otentikasi dan privasi sesi. Selain sistem kata sandi (pengguna mengetahui kata sandi rahasia yang ia sajikan ke situs), sertifikat SSL klien digunakan untuk otorisasi di Internet modern (Lapisan Soket Aman - tingkat soket aman). Pengguna membeli sertifikat yang ditandatangani oleh pusat otorisasi tepercaya, dan dengan itu mengizinkan di berbagai situs di Internet.

Sertifikat digital adalah dokumen digital yang mengaitkan kunci publik dengan pengguna atau aplikasi tertentu. Sebagai konfirmasi keaslian sertifikat digital, tanda tangan digital dari pusat tepercaya - Otoritas Sertifikasi (CA) sering digunakan.

Karena daftar fungsi CA mencakup pembentukan sertifikat dan daftar pencabutan sertifikat, otoritas sertifikasi adalah komponen utama dalam sistem tersebut. Namun, biaya sertifikat yang signifikan dan pemeliharaannya, ketergantungan yang konstan pada pusat sertifikasi dan kesulitan menghasilkan sertifikat dengan partisipasi dari pusat otorisasi, membuat mekanisme otentikasi ini praktis tidak dapat diterapkan untuk penggunaan massal, sebagai akibatnya telah menerima distribusi terbatas dalam jaringan perusahaan, dan secara praktis tidak diketahui oleh masyarakat umum.

Salah satu pendiri jaringan cryptocurrency "Emercoin", yang sudah kami tulis di blog kami, pengembang Oleg Khovaiko mengusulkan interpretasi protokol SSL yang tidak memerlukan partisipasi otoritas sertifikasi: protokol emcssl memberikan peluang untuk sistem otentikasi terdesentralisasi. Emcssl menggeser fokus proses otentikasi ke pengguna, sehingga memungkinkan pengguna untuk secara mandiri menghasilkan dan mengelola data pengidentifikasian.

Emcssl


Emcssl adalah layanan otentikasi tanpa kata sandi terdesentralisasi di mana setiap orang dapat menghasilkan sertifikat mereka sendiri, dan Emercomin blockchain bertindak sebagai otoritas yang berwenang.

Emcssl menggunakan sertifikat SSL klien, yang memberikan, pertama, otorisasi klien yang disederhanakan, dan kedua, pembuatan saluran komunikasi aman terenkripsi dengan server - dengan kata lain, koneksi aman.

Tidak seperti sistem SSL lainnya, menggunakan emcssl, klien, tanpa batasan dan interaksi dengan siapa pun, dapat dengan cepat, secara independen menghasilkan sertifikat dan memperbaruinya atas kebijakan mereka sendiri. Satu sertifikat klien SSL tunggal dapat digunakan kembali untuk otorisasi pada beberapa server yang termasuk dalam sistem otentikasi, tanpa mengorbankan keamanan. Dengan demikian, bagi pengguna untuk berfungsi penuh di ruang Internet, satu sertifikat sudah cukup, yang secara radikal menyederhanakan akses ke akun dan menghilangkan kebutuhan untuk mengingat puluhan kata sandi. Sertifikat terdiri dari bagian publik dan kunci pribadi, yang hanya diketahui pengguna.

Bagaimana cara kerja emcssl?



Untuk mulai menggunakan emcssl, Anda harus menjalankan program: 1) menghasilkan sertifikat ssl pribadi, 2) menerbitkan "tanda tangan digital" dari sertifikat di EmerCoin NVS dan 3) mengunggah sertifikat ke browser. Tiga langkah pertama dilakukan hanya sekali.

Selanjutnya, Anda dapat mengunjungi situs mana pun yang mendukung sistem otorisasi ini dan terus masuk ke akun Anda tanpa nama pengguna dan kata sandi (browser Anda sudah masuk untuk Anda) sepenuhnya secara otomatis. Jika sebelumnya Anda tidak memiliki akun di situs ini, maka Anda dapat membuat akun baru berdasarkan sertifikat, secara harfiah, dengan satu penekanan tombol. Profil pengguna di server secara otomatis diisi dengan data yang Anda anggap perlu untuk diberikan saat membuat sertifikat.

Bagaimana server berinteraksi dengan sertifikat?



Ketika pengguna browser dengan sertifikat ingin mengunjungi situs tempat akunnya sudah ada, situs akan meminta klien untuk menampilkan sertifikat klien.

  1. Pada kunjungan pertama ke situs, browser akan menanyakan kepada pengguna sertifikat mana yang harus digunakan untuk otorisasi. Pengguna akan memilih sertifikat dan browser akan mengingat bahwa sertifikat yang sesuai harus disajikan ke server ini.
  2. Setelah menerima sertifikat, server terlebih dahulu memverifikasi tanda tangan sertifikat. Verifikasi tanda tangan yang berhasil membuktikan bahwa sertifikat dihasilkan untuk sistem emcssl. Cek yang tersisa akan mengikuti nanti.
  3. Lebih jauh, server menghasilkan nomor acak, mengenkripsinya pada kunci publik yang terletak di sertifikat yang disajikan, dan mengirimkannya ke browser. Ini adalah kata sandi satu kali untuk koneksi ini.
  4. , .
  5. https- . , , . .
  6. , , . , , -. , – , . , , .

Jika penyerang membuat sertifikat lain dengan nomor seri yang sama dengan milik Anda, maka ia tidak akan dapat mengunduh checksum yang sama, karena sudah diambil. Sebagai hasil dari semua pemeriksaan, yang bersama-sama mengambil sepersekian detik, server memastikan bahwa klien yang masuk: memiliki sertifikat emcssl, memiliki kunci rahasia, memiliki nomor seri yang sesuai dari sertifikat dan, sebagai akibatnya, membuka akses ke akun.

Fitur sistem adalah kenyataan bahwa siapa pun yang memiliki akses ke peramban dengan sertifikat yang diunduh memiliki semua kunci untuk semua akun. Jika Anda mencuri laptop atau tablet, Anda harus membuat sertifikat baru sesegera mungkin dan mengunggah tanda tangan digitalnya ke blockchain Emercoin. Langkah ini secara otomatis akan membatalkan sertifikat yang dicuri. Untungnya, dalam hal ini hanya satu sertifikat yang perlu diganti, bukan lusinan kata sandi.

Sistem ini hanya mengotorisasi browser dan membuat koneksi jaringan aman, tetapi tidak mengesahkan operator. Untuk verifikasi pada layanan kritis, lebih baik menggunakan otentikasi multi-faktor.

Sistem emcssl berhasil masuk ke lingkungan kerja layanan HashFlare - kami menerapkannya di panel kontrol penambang kami. Menggunakan teknologi emcssl di antarmuka manajemen penambang HashFlare, Anda dapat mengautentikasi menggunakan sertifikat pengguna yang sama dengan yang dihasilkan dalam emcssh.

Karena sertifikat klien dibuat di dompet pribadi pengguna, di blockchain Emercoin, asalkan seluruh sistem dimasukkan ke dalam antarmuka pengguna manajemen penambang, sebuah loop tertutup untuk penambangan solo emercoin muncul, di mana dompet emercoin tertanam langsung ke dalam penambang.

Bagaimana cara mulai menggunakan?


Semua perangkat lunak gratis. Paket untuk menghasilkan sertifikat klien ada di sini: pool.emercoin.com/emcssl Di sana Anda juga dapat memeriksa operasi sertifikat Anda di halaman pengujian.

Source: https://habr.com/ru/post/id386023/

More articles:


All Articles