Veb-kriptografiya APIsi - Web Cryptography API

The Veb-kriptografiya APIsi bo'ladi Butunjahon Internet tarmog'idagi konsortsium Ning xavfsizligini oshiradigan past darajadagi interfeys uchun (W3C) tavsiyasi veb-ilovalar ularni bajarishga imkon berish orqali kriptografik funktsiyalar xom kalit materialiga kirmasdan.^[1] Bu agnostik API kabi asosiy kriptografik operatsiyalarni bajaradi hashing, imzo yaratish va tekshirish va shifrlash shu qatorda; shu bilan birga parolni hal qilish veb-ilovadan.^[2]

Tavsif

World Wide Web Consortium (W3C) 1994 yilda tashkil etilgan Tim Berners-Li Butunjahon Internet tarmog'ining asl me'mori kim. Ushbu konsortsium Internet va Butunjahon Internet tarmog'iga aloqador xalqaro kompaniyalardan iborat. Uning maqsadi - rivojlanish ochiq standartlar va Internetning bir-biriga qarshi raqobatlashishi mumkin bo'lgan turli fraktsiyalarga bo'linishiga qarshi yagona yo'nalishda rivojlanishiga imkon beradigan tavsiyalar berish.

2017 yil 26-yanvarda W3C veb-kriptografiya API uchun o'z tavsiyasini e'lon qildi^[3] veb-dasturlarda asosiy kriptografik operatsiyalarni bajarishi mumkin. Ushbu agnostik API ishlatilishi mumkin JavaScript ichida ma'lumotlar almashinuvi xavfsizligini oshiradigan operatsiyalarni bajarish veb-ilovalar. API yaratish va / yoki boshqarish uchun past darajadagi interfeysni taqdim etadi ochiq kalitlar va shaxsiy kalitlar uchun hashing, elektron raqamli imzo ishlab chiqarish va tekshirish va shifrlash va parolni hal qilish veb-ilovalar bilan ishlash uchun.

Veb-kriptografiya API-dan keng foydalanish uchun foydalanish mumkin, jumladan:

Ta'minlash autentifikatsiya foydalanuvchilar va xizmatlar uchun
Elektron imzo hujjatlar yoki kod
Himoyalash yaxlitlik va maxfiylik aloqa va raqamli ma'lumotlar almashinuvi

Veb-kriptografiya API-si agnostik xususiyatga ega bo'lganligi sababli, uni har qanday kishida ishlatish mumkin platforma. Bu umumiy to'plamni taqdim etadi interfeyslar bu ruxsat beradi boy Internet dasturlari kriptografik funktsiyalarni xom ashyo kalitiga kirishni talab qilmasdan o'tkazish. Bu yuqoridagi kriptografik operatsiyalarni bajarish usullari guruhini belgilaydigan SubtleCrypto interfeysi yordamida amalga oshiriladi. Veb-kriptografiya API-ning qo'shimcha interfeyslari kalitlarni yaratish, kalitlarni yaratish va kalitlarni import qilish va eksport qilish imkonini beradi.^[1]

Veb-kriptografiya API-sidan foydalanish bo'yicha tasavvur

W3C-ning veb-kriptografiya API-sidagi spetsifikatsiyasi platformaga xos va standartlashtirilgan kriptografik API-lar orasida mavjud bo'lgan umumiy funktsiyalarga va xususiyatlarga e'tiborni bir nechta dasturlarda ma'lum bo'lganlarga nisbatan. Veb-kriptografiya API-dan foydalanish bo'yicha guruhning tavsiyasi algoritmlarning majburiy to'plamini amalga oshirishni talab qilmaydi. Buning sababi, mos keladigan foydalanuvchi agentlari orasida kriptografik dasturlarning turlicha bo'lishini anglash hukumat qoidalari, mahalliy siyosatlar, xavfsizlik amaliyotlar va intellektual mulk tashvishlar.

Mavjud veb-dasturlarning ko'p turlari mavjud, ular uchun veb-kriptografiya API-si juda mos keladi.^[1]

Ko'p faktorli autentifikatsiya

Bugun ko'p faktorli autentifikatsiya onlayn-bank kabi veb-ilovadan foydalanuvchi shaxsini tasdiqlashning eng ishonchli usullaridan biri hisoblanadi. Hozirda ko'plab veb-dasturlar foydalanuvchi va foydalanuvchi agentini himoya qilish uchun ushbu autentifikatsiya usuliga bog'liq. Veb-kriptografiya API-si bilan veb-dastur foydalanuvchi kirish huquqini tasdiqlash uchun maxfiy kalit materialiga transport qatlami autentifikatsiyasiga ishonish o'rniga o'z-o'zidan autentifikatsiya qilish imkoniyatiga ega bo'ladi. Ushbu jarayon foydalanuvchi uchun yanada boy tajriba taqdim etadi.

Veb-kriptografiya APIsi dasturga avval foydalanuvchi agenti tomonidan yaratilgan yoki veb-dastur tomonidan oldindan tayyorlab qo'yilgan mos mijoz kalitlarini topishga imkon beradi. Ilova foydalanuvchi agentiga yangi kalit yaratish yoki mavjud bo'lgan kalitni qayta ishlatish imkoniyatini berishi mumkin, agar foydalanuvchida allaqachon o'z qayd yozuvlari bilan bog'langan kalit bo'lmasa. Ushbu jarayonni Transport qatlamining xavfsizligi Agar foydalanuvchi autentifikatsiya qilsa, ko'p faktorli autentifikatsiya qilish jarayoni asosiy transportga asoslangan kalitni chiqarish orqali qo'shimcha ravishda kuchaytirilishi mumkin.^[1]^[2]

Himoyalangan hujjatlar almashinuvi

API maxfiy yoki maxfiy hujjatlarni veb-dastur ichidan ruxsatsiz ko'rishdan himoya qilish uchun ishlatilishi mumkin, hatto ular ilgari ishonchli qabul qilingan bo'lsa ham. Veb-dastur hujjatni maxfiy kalit bilan shifrlash va keyin hujjatni ko'rishga vakolatli foydalanuvchilar bilan bog'langan ochiq kalitlar bilan o'rash uchun veb-kriptografiya API-dan foydalanadi. Veb-dasturga o'tishda vakolatli foydalanuvchi shifrlangan hujjatni oladi va shifrni ochish va ko'rishga imkon beradigan ochish jarayonini boshlash uchun o'z shaxsiy kalitidan foydalanishni buyuradi.^[2]

Bulutli saqlash

Ko'pgina korxonalar va jismoniy shaxslar ishonishadi bulutli saqlash. Himoya qilish uchun masofaviy xizmat o'z veb-dasturidan foydalanuvchilarga o'zlarining hujjatlarini yoki boshqa ma'lumotlarni yuklashdan oldin ularning maxfiy hujjatlarini himoya qilish imkoniyatini berishini talab qilishi mumkin. Veb-kriptografiya API-si foydalanuvchilarga quyidagilarni amalga oshirishga imkon beradi:

Shaxsiy yoki maxfiy kalitni tanlashni tanlang
Agar xohlasalar, ularning kalitidan shifrlash kalitini oling
Ularning hujjati / ma'lumotlarini shifrlash
Xizmat ko'rsatuvchi provayderning mavjud API-laridan foydalangan holda ularning shifrlangan hujjati / ma'lumotlarini yuklang^[2]

Elektron hujjat imzosi

Hujjatlarni elektron imzolash qobiliyati vaqtni tejaydi, muhim hujjatlar xavfsizligini oshiradi va foydalanuvchi hujjatni qabul qilganligining huquqiy dalili bo'lib xizmat qilishi mumkin. Ko'pgina veb-ilovalar qabul qilishni tanlaydi elektron imzolar yozma imzolarni talab qilish o'rniga. Veb-kriptografiya API-si yordamida foydalanuvchidan veb-dastur uchun maxsus yaratilishi yoki oldindan ta'minlanishi mumkin bo'lgan kalitni tanlash talab qilinadi. Keyin kalit imzo qo'yish jarayonida ishlatilishi mumkin.

Ma'lumotlarning yaxlitligini himoya qilish

Veb-ilovalar tez-tez ma'lumotlarni mahalliy sifatida keshlashadi, bu esa oflayn hujum sodir bo'lganda ma'lumotlarning murosaga kelish xavfini tug'diradi. Veb-kriptografiya API veb-dasturga a-dan foydalanishga ruxsat beradi ochiq kalit tekshirish uchun o'zi ichidan joylashtirilgan yaxlitlik ma'lumotlar keshining.^[2]

Xavfsiz xabar almashish

Veb-kriptografiya API xavfsizligini oshirishi mumkin xabar almashish foydalanish uchun yozuvdan tashqari (OTR) kalit kelishuvdan foydalangan holda va boshqa turdagi xabarlarni imzolash sxemalari. Xabar jo'natuvchisi va mo'ljallangan qabul qiluvchi ruxsatsiz kirishni oldini olish uchun xabarlarni shifrlash va parolini ochish uchun birgalikda shifrlash va xabarni tasdiqlash kodi (MAC) kalitlari bilan muzokara olib boradi.^[2]

JavaScript-ni imzolash va shifrlash (JOSE)

Veb-kriptografiya API-dan veb-ilovalar tomonidan JOSE Ishchi guruhi tomonidan belgilangan xabarlar formatlari va tuzilmalari bilan o'zaro aloqada bo'lish uchun foydalanish mumkin.^[4] Ilova o'qishi va import qilishi mumkin JSON veb-imzosi (JWK) tugmachalari, elektron imzo orqali himoyalangan xabarlarni tasdiqlash yoki MAC kalitlari va JWE xabarlarini parolini hal qilish.

Veb-kriptografiya API-ga muvofiqligi

W3C, sotuvchilarga veb-kriptografiya API-si uchun texnik xususiyatlarga ega bo'lgan sotuvchiga tegishli xususiy kengaytmalarni ishlatmasliklarini tavsiya qiladi. Buning sababi, API-ning o'zaro ishlashini pasaytirishi va foydalanuvchi bazasini buzishi mumkin, chunki barcha foydalanuvchilar ma'lum tarkibga kira olmaydilar. Sotuvchiga xos kengaytmani oldini olishning iloji bo'lmaganda, API-ning kelgusi avlodlari bilan to'qnashuvlarning oldini olish uchun sotuvchi uni sotuvchining o'ziga xos satrlari bilan qo'shib qo'yishi tavsiya etiladi.

Adabiyotlar

^ ^a ^b ^v ^d Tyorner, Dawn M. "Veb-kriptografiya API uchun W3C-ning taklifi". Kriptomatik. Olingan 9 may 2017.
^ ^a ^b ^v ^d ^e ^f Watson, Mark (muharriri). "Veb-kriptografiya API W3C-ning 2016 yil 15-dekabrdagi tavsiyasi". W3C. Olingan 23 may 2017.CS1 maint: qo'shimcha matn: mualliflar ro'yxati (havola)
^ Watson, Mark (muharriri). "Veb-kriptografiya API W3C tavsiyasi 2017 yil 26-yanvar". W3C. Olingan 3 iyul 2018.CS1 maint: qo'shimcha matn: mualliflar ro'yxati (havola)
^ JOSE ishchi guruhi. "Javascriptni imzolash va shifrlash (jose)". IETF. Olingan 16 mart 2017.

Tashqi havolalar

[cryptomathic-W3c-1] v ^d Tyorner, Dawn M. "Veb-kriptografiya API uchun W3C-ning taklifi". Kriptomatik. Olingan 9 may 2017.

[W3C-2] v ^d ^e ^f Watson, Mark (muharriri). "Veb-kriptografiya API W3C-ning 2016 yil 15-dekabrdagi tavsiyasi". W3C. Olingan 23 may 2017.CS1 maint: qo'shimcha matn: mualliflar ro'yxati (havola)

[W3C-Web-Cryptography-3] Watson, Mark (muharriri). "Veb-kriptografiya API W3C tavsiyasi 2017 yil 26-yanvar". W3C. Olingan 3 iyul 2018.CS1 maint: qo'shimcha matn: mualliflar ro'yxati (havola)

[IETF_working_group-4] JOSE ishchi guruhi. "Javascriptni imzolash va shifrlash (jose)". IETF. Olingan 16 mart 2017.

[1]

[2]

[3]

[4]