Geekly articles weekly

Autenticação sem senha e outros recursos implícitos de certificados digitais

No mundo moderno, a criptografia é usada ativamente no campo das comunicações na Internet e em vários campos da atividade profissional. E-mail e fluxo de trabalho seguros são possíveis criptografando mensagens ou arquivos e gerando assinaturas digitais.



E os navegadores e servidores da Web usam a infraestrutura de chave pública (PKI) para autenticação e privacidade da sessão. Além do sistema de senhas (o usuário conhece a senha secreta que ele apresenta ao site), os certificados SSL do cliente são usados ​​para autorização na Internet moderna (Secure Sockets Layer - nível de soquetes seguros). O usuário compra um certificado assinado por um centro de autorização confiável e com ele autoriza em vários sites na Internet.

Um certificado digital é um documento digital que associa uma chave pública a um usuário ou aplicativo específico. Como confirmação da autenticidade de um certificado digital, a assinatura digital de um centro confiável - uma Autoridade de Certificação (CA) é frequentemente usada.

Como a lista de funções da CA inclui a formação de certificados e listas de revogação de certificados, uma autoridade de certificação é o principal componente desses sistemas. No entanto, o custo significativo dos certificados e sua manutenção, a constante dependência do centro de certificação e a dificuldade de gerar um certificado com a participação de um centro autorizador tornam esse mecanismo de autenticação praticamente inaplicável para uso em massa, pelo que recebeu distribuição limitada nas redes corporativas e é praticamente desconhecido do público em geral.

Um dos co-fundadores da rede de criptomoedas "Emercoin", sobre a qual já escrevemos em nosso blog, o desenvolvedor Oleg Khovaiko propôs uma interpretação do protocolo SSL que não requer a participação de uma autoridade de certificação: o protocolo emcssl oferece oportunidades para um sistema de autenticação descentralizado. O Emcssl muda o foco do processo de autenticação para o usuário, permitindo que os usuários gerem e gerenciem dados de identificação independentemente.

Emcssl


O Emcssl é um serviço de autenticação sem senha descentralizado, onde todos podem gerar seu próprio certificado, e a blockchain Emercomin atua como uma autoridade autorizadora.

O Emcssl usa certificados SSL do cliente, que fornecem, em primeiro lugar, autorização simplificada do cliente e, em segundo lugar, a criação de um canal de comunicação seguro criptografado com o servidor - em outras palavras, uma conexão segura.

Ao contrário de outros sistemas SSL, usando o emcssl, os clientes, sem restrições e interação com ninguém, podem gerar um certificado de forma rápida e independente e atualizá-lo a seu critério. Um único certificado SSL do cliente pode ser reutilizado para autorização em vários servidores incluídos no sistema de autenticação, sem comprometer a segurança. Portanto, para uma operação completa no espaço da Internet, o usuário precisa de apenas um certificado, o que simplifica radicalmente o acesso às contas e elimina a necessidade de lembrar dezenas de senhas. O certificado consiste em uma parte pública e uma chave privada, que são conhecidas apenas pelo usuário.

Como o emcssl funciona?



Para começar a usar o emcssl, você deve executar o programa: 1) gerar um certificado SSL pessoal, 2) publicar uma "assinatura digital" do certificado no EmerCoin NVS e 3) carregar o certificado no navegador. As três primeiras etapas são executadas apenas uma vez.

Além disso, você pode acessar qualquer site que ofereça suporte a esse sistema de autorização e continuar a fazer login na sua conta sem um nome de usuário e senha (seu navegador já assinou por você) de forma totalmente automática. Se você anteriormente não tinha uma conta neste site, poderá criar uma nova conta com base no certificado, literalmente, com um toque de tecla. O perfil do usuário no servidor é preenchido automaticamente com os dados que você considerou necessários para fornecer ao gerar o certificado.

Como o servidor interage com o certificado?



Quando um usuário do navegador com um certificado deseja visitar um site em que sua conta já existe, o site exigirá que o cliente apresente um certificado de cliente.

  1. Na primeira visita ao site, o navegador perguntará ao usuário qual certificado deve ser usado para autorização. O usuário selecionará um certificado e o navegador lembrará que o certificado correspondente deve ser apresentado a este servidor.
  2. Após receber um certificado, o servidor primeiro verifica a assinatura do certificado. A verificação bem-sucedida da assinatura prova que o certificado foi gerado para o sistema emcssl. As verificações restantes seguirão mais tarde.
  3. Além disso, o servidor gera um número aleatório, criptografa-o em uma chave pública localizada no certificado apresentado e o envia ao navegador. Essa é a senha descartável para esta conexão.
  4. , .
  5. https- . , , . .
  6. , , . , , -. , – , . , , .

Se um invasor gerar outro certificado com o mesmo número de série que o seu, ele não poderá baixar a mesma soma de verificação, pois ela já foi obtida. Como resultado de todas as verificações, que juntas levam frações de segundo, o servidor garante que o cliente recebido: tenha um certificado emcssl, possua uma chave secreta, possua o número de série correspondente do certificado e, como resultado, abra o acesso à conta.

Um recurso do sistema é o fato de que qualquer pessoa que tenha acesso a um navegador com um certificado baixado possui todas as chaves de todas as contas. Caso você tenha roubado um laptop ou tablet, gere um novo certificado o mais rápido possível e faça o upload de sua assinatura digital para o blockchain Emercoin. Esta etapa invalidará automaticamente o certificado roubado. Felizmente, nesse caso, apenas um certificado precisa ser substituído, não dezenas de senhas.

Este sistema apenas autoriza o navegador e torna a conexão de rede segura, mas não autoriza o operador. Para verificação em serviços críticos, é melhor usar a autenticação multifator.

O sistema emcssl se encaixou com sucesso no ambiente de trabalho do serviço HashFlare - nós o implementamos em nossos painéis de controle do mineiro. Usando a tecnologia emcssl na interface de gerenciamento do minerador HashFlare, é possível autenticar com segurança usando os mesmos certificados de usuário gerados pelo emcssh.

Como o certificado do cliente é gerado na carteira pessoal do usuário, na blockchain Emercoin, desde que todo o sistema seja incorporado à interface do usuário de gerenciamento de minerador, um loop fechado para mineração em solo de emercoin aparece, onde a carteira de emercoin é incorporada diretamente no minerador.

Como começar a usar?


Todo o software é gratuito. O pacote para gerar certificados de cliente está localizado aqui: pool.emercoin.com/emcssl Lá você também pode verificar a operação do seu certificado na página de teste.

Source: https://habr.com/ru/post/pt386023/

More articles:


All Articles