MicroID - MicroID

tento článek případně obsahuje původní výzkum. Prosím vylepši to podle ověřování vznesené nároky a přidání vložené citace. Výroky sestávající pouze z původního výzkumu by měly být odstraněny. (Leden 2008) (Zjistěte, jak a kdy odstranit tuto zprávu šablony)

MicroID je decentralizovaná identita protokol. Původně byl vyvinut v roce 2005 společností Jeremie Miller [1]. MicroID je jednoduchý identifikátor zahrnující hašovanou komunikaci / identitu URI (např. e-mailem, OpenID a / nebo Yadis ) a nárokoval URL. Společně tyto dva prvky vytvářejí hash, který lze nárokovat službami třetích stran.

Ben Laurie s ním v roce 2006 prokázal problémy s ochranou soukromí,^[1] stejně jako Chris Erway v Brown CS Technical Report v roce 2008^[2]

Výměna MicroID

Zde je příklad MicroID hash, v pseudo kód:

MicroID = sha1 (sha1 ("mailto: [email protected]") + sha1 ("http://example.net/"));

Vypočítaný MicroID by pak byl umístěn na webovou stránku, která má být nárokována. Ověřovatel, který by nezávisle vygeneroval MicroID, by pak navštívil stránku, aby zjistil, zda je vygenerovaný MicroID stejný jako MicroID na stránce. Pokud jsou stejné, existuje nárok.

MicroID je založen na komunikaci URI. Vzhledem k tomu, že poskytovatel i ověřovatel MicroID mohou ověřit komunikační identifikátor URI, umožňuje správná implementace MicroID nárokovat důvěryhodné identity.

Bezpečnostní omezení

MicroID je v podstatě identifikátor URI obsahu podepsaný e-mailovou adresou nebo jiným uvedením zdroje. Vzhledem k tomu, že je identifikátor URI obsahu známý pro účely srovnání, nárok na MicroID může být vytvořen kýmkoli, kdo zná komunikační URI (např. E-mailovou adresu) přidruženou k identitě.

Zejména proto, že ověřovatel musí vygenerovat MicroID, aby jej mohl porovnat, z toho vyplývá, že každá strana, která je důvěryhodná pro ověření MicroID uživatele, musí být také důvěryhodná, aby s ní mohla generovat nové autorizační nároky.

Pokud tedy můžete ověřit - můžete falšovat.

Jinými slovy, kdokoli (např. Alice), který může někomu (např. Bobovi) ověřit jeho MicroID na prostředku „X“, může také vygenerovat (spoofovat) MicroID na jakémkoli jiném dokumentu (např. Alice může vygenerovat platný MicroID pro dokument Y, nerovná se X, ve jménu Boba).

Za předpokladu, že identita není známa (např. 1) se vydavatel rozhodl zůstat v anonymitě a 2) popírá ostatním možnost ověřit nárok MicroID až do budoucnosti, kdy odhalí svou identitu), pak může provádět někdo s e-mailovými adresami triviální slovníkový útok k nalezení vlastnictví zdrojů,[2] někdo s URI může provést triviální slovníkový útok a najít e-mailovou adresu.[3]

Takže (pouze) zbývající případ použití je místo, kde entita generuje silný kryptografická nonce (např. UUID); používá toto k publikování dokumentů v průběhu času - a někdy v budoucnu odhalí UUID, aby prokázal, že tyto dokumenty napsal (a akceptuje, že od tohoto okamžiku může kdokoli vznést jakékoli nároky jeho jménem).

Omezení ochrany osobních údajů

Jak je vysvětleno výše, MicroID je hash vyrobený z veřejného URI a částečně veřejného e-mailu. Ti, kteří znají obojí, si mohou ověřit nárok na identitu na stránce. Hashování pomáhá skrýt částečně veřejnou e-mailovou adresu lidem, kteří by ji neměli vědět, zejména spammerům.

Výzkum však^[2] na populárních sociálních webech jako Last.fm, Digg a ClaimID ukazují, že a útok hrubou silou může dešifrovat e-mailovou adresu ve 20–25% případů.

Útok hrubou silou odhaduje e-mailové adresy odvozené od veřejného uživatelského jména a dalších informací dostupných na sociálních webech, a proto kontroluje pouze asi tucet kandidátských adres na MicroID. Navzdory tomu studie ukázala jednoduchý útok, jako by tento mohl být čtvrtinu času stále úspěšný, zatímco zlomek sekundy strávil kontrolou všech kandidátů u každého uživatele. Schéma hašování tedy nezaručuje soukromí e-mailové adresy.

Architektura žádosti o MicroID

Příklad úspěšné žádosti o MicroID je následující:

Uživatel se zaregistruje k webové službě. Tato webová služba ověří e-mail uživatele a vytvoří veřejné webové stránky pro uživatele, které obsahují MicroID. Tento MicroID obsahuje hašovaný e-mail (komunikační URI) a adresu URL webové stránky.
Uživatel se poté zaregistruje ke službě ověřovatele. Služba také ověří e-mail uživatele.
Uživatel zadá do služby ověřovatele adresu URL stránky, kterou si přeje nárokovat. Služba ověřovatele počítá MicroID a pokouší se ověřit MicroID na nárokované stránce.
Pokud je MicroID v nárokované stránce stejná jako ve službě ověřovatele, existuje nárok. Ověřovatel si poté nárokuje vlastnictví stránky.

MicroID a DOM

MicroID umožňuje nárokování sémantický HTML elementy. Například MicroID vložený do prvku na úrovni bloku bude představovat nárok na vlastnictví čehokoli v prvku. MicroID vložený do záhlaví stránky bude představovat nárok na vlastnictví stránky. Claimy jsou ověřitelné pouze u zrnitosti URI.

Známí poskytovatelé MicroID

Následující webové služby poskytují MicroID svým uživatelům:

Známí ověřovatelé MicroID

Následující webové služby ověřují nároky MicroID:

externí odkazy

http://microid.org - Domovská stránka MicroID
http://microid.org/blog - blog MicroID
http://lists.ibiblio.org/mailman/listinfo/microid - Seznam adresátů MicroID
http://microid.org/code/ - MicroID Otevřený zdrojový kód

Reference

^ Laurie, Ben (2006-03-28). „MicroID“. Citováno 2009-05-08.
^ ^A ^b Erway, Chris (2008-08-22). MicroID považován za škodlivý (pro soukromí). Brown University Computer Science. Citováno 2009-05-08.