Geekly articles weekly

无密码验证和数字证书的其他隐式功能

在现代世界中,密码术被积极地用于Internet通信领域和各种专业活动领域。通过加密消息或文件并生成数字签名,可以实现安全的电子邮件和工作流程。



Web浏览器和服务器使用公钥基础结构(PKI)进行身份验证和会话隐私。除了密码系统(用户知道他提供给站点的秘密密码)之外,客户端SSL证书还用于在现代Internet(安全套接字层-安全套接字级别)上进行授权。用户购买由受信任的授权中心签名的证书,并随同它在Internet上的各个站点上进行授权。

数字证书是将公钥与特定用户或应用程序关联的数字文档。作为对数字证书真实性的确认,通常使用受信任中心的数字签名-证书颁发机构(CA)。

由于CA功能的列表包括证书的形成和证书吊销列表,因此证书颁发机构是此类系统中的主要组件。但是,证书及其维护的巨大成本,对证书中心的不断依赖以及在授权中心的参与下生成证书的困难,使得这种身份验证机制实际上不适用于大规模使用,因此其在企业网络中的分布有限,并且实际上对于公众是未知的。

加密货币网络“ Emercoin”的联合创始人之一,我们已经在博客中写过,开发人员Oleg Khovaiko提出了SSL协议的一种解释,该解释不需要证书颁发机构的参与:emcssl协议为分散式身份验证系统提供了机会。Emcssl将身份验证过程的重点转移给用户,从而使用户能够独立生成和管理标识数据。

Emcssl


Emcssl是一种分散式的无密码身份验证服务,每个人都可以生成自己的证书,而Emercomin区块链则充当授权机构。

Emcssl使用客户端SSL证书,该证书首先提供简化的客户端授权,其次提供与服务器的加密安全通信通道的创建-换句话说,是安全连接。

与其他SSL系统不同,使用emcssl的客户端可以不受限制并与任何人进行交互,可以快速,独立地生成证书并自行决定是否对其进行更新。可以将一个客户端SSL证书重用于身份验证系统中包含的多台服务器上的授权,而不会影响安全性。因此,对于Internet空间中的完整操作,用户只需要一个证书,从根本上简化了对帐户的访问,并且无需记住多个密码。该证书由一个公共部分和一个私有密钥组成,只有用户才知道。

emcssl如何工作?



为了开始使用emcssl,您必须运行该程序:1)生成个人ssl证书,2)在EmerCoin NVS中发布证书的“数字签名”,以及3)将证书上传到浏览器。前三个步骤仅执行一次。

接下来,您可以转到支持该授权系统的任何站点,并继续完全没有用户名和密码(您的浏览器已为您签名)的身份登录您的帐户。如果您以前在此站点上没有帐户,则可以一次按击基于证书的字面意义来创建一个新帐户。服务器上的用户配置文件将自动填充您在生成证书时认为需要提供的数据。

服务器如何与证书交互?



当具有证书的浏览器用户想要访问其帐户已经存在的站点时,该站点将要求客户端出示客户端证书。

  1. 在首次访问该站点时,浏览器将询问用户应使用哪个证书进行授权。用户将选择一个证书,浏览器将记住应该向该服务器提供相应的证书。
  2. 收到证书后,服务器首先验证证书的签名。成功验证签名可证明该证书是为emcssl系统生成的。其余检查将在稍后进行。
  3. 此外,服务器生成一个随机数,使用位于所提供证书中的公共密钥对其进行加密,然后将其发送给浏览器。这是此连接的一次性密码。
  4. , .
  5. https- . , , . .
  6. , , . , , -. , – , . , , .

如果攻击者生成的序列号与您的序列号相同的另一个证书,则他将无法下载相同的校验和,因为它已被使用。作为所有检查的结果(总共花费了几分之一秒),服务器确保传入的客户端:具有emcssl证书,拥有密钥,拥有证书的相应序列号,并因此打开了对该帐户的访问权限。

该系统的一个特点是,任何能够使用下载的证书访问浏览器的人都拥有所有帐户的所有密钥。如果您偷了笔记本电脑或平板电脑,则应尽快生成新证书,并将其数字签名上载到Emercoin区块链。此步骤将自动使被盗证书无效。幸运的是,在这种情况下,只需要替换一个证书,而不用更换密码。

该系统仅授权浏览器并使网络连接安全,但不授权操作员。为了对关键服务进行验证,最好使用多因素身份验证。

emcssl系统成功地适合HashFlare服务工作环境-我们在矿机控制面板中实现了该系统。使用HashFlare矿工管理界面中的emcssl技术,可以使用在emcssh中生成的相同用户证书进行身份验证。

由于客户端证书是在用户的个人钱包中生成的,因此在Emercoin区块链中,如果将整个系统整合到矿工管理用户界面中,则将出现emercoin独挖的闭环,其中emercoin钱包直接嵌入矿工中。

如何开始使用?


所有软件都是免费的。生成客户端证书的程序包位于:pool.emercoin.com/emcssl那里,您还可以在测试页面上检查证书的操作。

Source: https://habr.com/ru/post/zh-CN386023/

More articles:


All Articles