پروتکل Delegated Credentials با هدف بالابردن امنیت فضای وب معرفی شد
روز گذشته شرکتهای فیسبوک، کلاودفلر و موزیلا از کار روی پروتکل امنیتی جدیدی با نام Delegated Credentials خبر دادند؛ ظاهرا Delegated Credentials پروتکل ویژهای بهشمار میآید که از سوی شرکتهای یادشده برای امنتر کردن فضای وب بهمنظور کوتاه کردن دست هکرها از دسترسی به اطلاعات کاربران معرفی شده است.
براساس جزئیات رسمی، پروتکل Delegated Credentials بهنوعی مکمل TLS محسوب میشود؛ TLS (مخفف Transport Layer Security) در حقیقت پروتکل امنیتی خاصی است که وبسایتها از آن بهمنظور برقراری ارتباطی امن با مرورگرهای وب بهره میگیرند. ظاهرا Delegated Credentials قرار است در نقش اکستنشنی برای TLS ظاهر شود. این پروتکل بهطور ویژه برای وبسایتهای بزرگ نظیر فیسبوک یا وبسایتهایی که از شبکهی تحویل محتوا (CDN) استفاده میکنند تولید شده است.
پروتکل امنیتی TLS برای کار کردن متکی بر نوعی تکنیک خاص با نام رمزنگاری نامتقارن (Asymmetric Encryption) یا رمزنگاری کلید عمومی است. در این تکنیک، کلید مربوط به رمزنگاری با کلید مربوط به رمزگشایی تفاوت دارد. رمزنگاری نامتقارن روشی قدرتمند برای محافظت از دادهها بهشمار میآید، با این حال وقتی بحث ارائهی محتوا در فضای وب مطرح میشود، این روش برخی کاستیها دارد که Delegated Credentials در پی برطرف ساختن آنها است.
رمزنگاری نامتقارنِ پروتکل امنیتی TLS به مرورگرها اجازه میدهد، بهصورت جداگانه تأیید کنند که وبسایتها امن هستند یا خیر؛ روند تأیید امن بودن یا نبودن وبسایتها از طریق ارسال درخواست گواهی دیجیتالی صورت میپذیرد. گواهی موردبحث تنها توسط گردانندهی اصلی وبسایت و از طریق کلید رمزنگاری خصوصی منحصربهفردی تولید میشود. با این حال اگر هکرها بتوانند بههر نحوی به کلید خصوصی موردبحث دسترسی پیدا کنند، میتوانند با استفاده از آن، هویت گردانندهی سایت را جعل کنند و به پایش ترافیک کاربران بپردازند.
موضوع یادشده برای وبسایتهای بزرگی نظیر فیسبوک، نگرانی بسیار بزرگی بهشمار میآید. شبکهی اجتماعی موردبحث بهصورت ماهانه توسط میلیاردها نفر موردبازدید قرار میگیرد، از همین رو فیسبوک بهصورت ماهانه ترافیک مربوط به کاربران را با هزاران سرور تحت وب پردازش میکند؛ تکتک این سرورها دارای کلید خصوصی منحصربهفردی هستند که تنها خود فیسبوک به آنها دسترسی دارد. اگر هکر بتواند به کلید خصوصی تنها یکی از این سرورها دست یابد، میتواند از لحاظ تئوری، هویت فیسبوک را جعل کند و فاجعهی بزرگی به بار بیاورد.
دقیقا همینجا است که پروتکل امنیتی Delegated Credentials وارد کار میشود. در فناوری بهکاررفته در پروتکل Delegated Credentials بهجای اینکه کلیدهای خصوصی روی سرورهای وبسایتها قرار بگیرند، مجموعهی جدیدی از کلیدها تولید و در بین سرورها توزیع میشوند. این رویکرد باعث میشود، کلید خصوصی هر سرور در خارج از دسترس هکرهایی قرار گیرد که ممکن است بخواهند در شبکه نفوذ کنند.
از لحاظ تئوری، امکان سوءاستفاده از کلیدهایی که توسط پروتکل Delegated Credentials در بین سرورها توزیع شدهاند نیز وجود دارد، اما این کلیدهای جدید در مقایسه با کلیدهای اولیه مزیت مهمی دارند: کلیدهای تولیدشده توسط Delegated Credentials دارای تاریخ انقضای کوتاهتری هستند. امروزه وبسایتها بهدلیل وجود برخی محدودیتهای فنی میتوانند کلیدهای خصوصیشان را پس از گذر چند ماه یا حتی بهصورت سالانه عوض کنند؛ اما بهلطف Delegated Credentials امکان انجام این کار در هر چند ساعت وجود دارد. این موضوع بهشکل درخورتوجهی روی کاهش خطرات مربوط به فاششدن کلید خصوصی وبسایتها اثر میگذارد.
گروهی از مهندسین فیسبوک در این زمینه گفتهاند: «گواهیهای مربوط به Delegated Credentials تنها برای مدتزمان مشخصی اعتبار دارند و پس از گذر این زمان، منقضی میشوند. پس از منقضیشدن گواهیها، مرورگرهای وب آنها را نخواهند پذیرفت. با اتخاذ این رویکرد، ما کاری کردهایم تا مدتزمانی که ممکن است هکر به گواهی وبسایتی دسترسی داشته باشد و از آن سوءاستفاده کند، کاهش یابد.»
Delegated Credentials افزون بر مورد یادشده، یک مزیت مهم و راهبردی دیگر نیز دارد؛ این پروتکل امنیتی به شرکتهای مختلف امکان میدهد که خودشان را در برابر شکستهشدن رمزنگاری کوانتومی (Quantum Cryptography) بیشتر از قبل محافظت کنند.
گفته میشود، رایانههای کوانتومی سرانجام روزی آنقدر قدرتمند خواهند شد تا بتوانند بر فناوریهای رمزنگاری امروزی نظیر TLS غلبه کنند و بهراحتی آنها را بشکنند. از همین رو محققان از مدتی پیش کار روی الگوریتمهای رمزنگاری جدیدتر و مقاومتری را شروع کردهاند تا اگر آن روز فرا رسید، توانایی مقابله با رایانههای کوانتومی را داشته باشند. پروتکل Delegated Credentials به گردانندگان وبسایتها امکان میدهد با صرف زمان و هزینهی کمتری نسبت به قبل، الگوریتمهای رمزنگاری جدید یادشده را روی سرورهایشان پیادهسازی کنند. این یعنی Delegated Credentials میتواند تأثیر بهسزایی روی افزایش سرعت انتقال اینترنت امروزی به دوران کوانتومی داشته باشد.
فیسبوک، کلاودفلر و موزیلا در همکاری با یکدیگر موفق به تولید پروتکل Delegated Credentials شدهاند؛ این شرکتها پروتکل یادشده را در اختیار کارگروه مهندسی اینترنت (Internet Engineering Task Force) قرار دادهاند تا بهزودی به استانداردی جدید در صنعت تبدیل شود.
دیدگاه شما کاربران زومیت درمورد پروتکل امنیتی Delegated Credentials چیست؟
نظرات