Webové kryptografické API - Web Cryptography API

The Webové kryptografické API je World Wide Web Consortium Doporučení (W3C) pro nízkoúrovňové rozhraní, které by zvýšilo zabezpečení webové aplikace tím, že jim umožníte hrát kryptografické funkce aniž byste museli přistupovat k surovému klíčovacímu materiálu.[1] Tento agnostik API bude provádět základní kryptografické operace, jako např hashování, generování podpisu a ověření a šifrování stejně jako dešifrování z webové aplikace.[2]

Popis

Konsorcium World Wide Web (W3C) bylo založeno v roce 1994 společností Tim Berners-Lee kdo je původním architektem World Wide Web. Toto konsorcium se skládá z mezinárodních společností, které se zabývají internetem a sítí WWW. Jeho účelem je rozvíjet se otevřené standardy a poskytnout doporučení, která umožní, aby se web i nadále vyvíjel jedním směrem versus štěpení do různých frakcí, které by mohly potenciálně konkurovat jeden druhému.

Dne 26. ledna 2017 vydala W3C doporučení pro webové kryptografické API[3] které by mohly provádět základní kryptografické operace ve webových aplikacích. Toto agnostické API by využilo JavaScript provádět operace, které by zvýšily bezpečnost výměny dat uvnitř webové aplikace. API by poskytovalo rozhraní na nízké úrovni pro vytváření a / nebo správu veřejné klíče a soukromé klíče pro hashování, digitální podpis generování a ověřování a šifrování a dešifrování pro použití s ​​webovými aplikacemi.

Webové kryptografické rozhraní API lze použít pro širokou škálu použití, včetně:

Protože rozhraní API pro kryptografii webu je v přírodě agnostické, lze jej použít na jakémkoli plošina. Poskytlo by to společnou sadu rozhraní to by dovolilo bohaté internetové aplikace provádět kryptografické funkce bez nutnosti přístupu k surovému materiálu klíčování. To by bylo provedeno s pomocí rozhraní SubtleCrypto, které definuje skupinu metod k provádění výše uvedených kryptografických operací. Další rozhraní v rámci rozhraní Web Cryptography API by umožnila generování klíčů, odvozování klíčů a import a export klíčů.[1]

Vize pro používání rozhraní API pro kryptografii webu

Specifikace W3C pro webové kryptografické rozhraní API klade důraz na běžné funkce a funkce, které v současné době existují mezi platformově specifickými a standardizovanými kryptografickými API ve srovnání s těmi, které jsou známy jen několika implementacím. Doporučení skupiny pro použití rozhraní API pro kryptografii webu nediktuje, že musí být implementována povinná sada algoritmů. Je to z důvodu vědomí, že kryptografické implementace se budou mezi vyhovujícími uživatelskými agenty lišit z důvodu Vládní regulace, místní opatření, bezpečnostní praktik a duševní vlastnictví obavy.

Existuje mnoho typů existujících webových aplikací, se kterými by se rozhraní API pro kryptografii webu dobře hodilo.[1]

Vícefaktorové ověřování

Dnes vícefaktorové ověřování je považován za jeden z nejspolehlivějších způsobů ověřování identity uživatele webové aplikace, jako je online bankovnictví. Mnoho webových aplikací aktuálně závisí na této metodě ověřování, aby chránilo uživatele i agenta uživatele. Díky rozhraní API pro kryptografii webu by webová aplikace měla schopnost poskytovat ověřování zevnitř sama, místo aby se při ověřování přístupu uživatele musela spoléhat na ověřování transportní vrstvy k materiálu tajných klíčů. Tento proces by uživateli poskytl bohatší zážitek.

Rozhraní Web Cryptography API by aplikaci umožnilo vyhledat vhodné klientské klíče, které byly dříve vytvořeny uživatelským agentem nebo byly předem zřízeny webovou aplikací. Aplikace by byla schopna dát agentovi uživatele schopnost buď vygenerovat nový klíč, nebo znovu použít existující klíč v případě, že uživatel nemá klíč již přidružený k jejich účtu. Svázáním tohoto procesu s Zabezpečení transportní vrstvy že se uživatel autentizuje prostřednictvím, lze vícefaktorový autentizační proces dodatečně posílit odvozením klíče, který je založen na základním přenosu.[1][2]

Výměna chráněných dokumentů

API lze použít k ochraně citlivých nebo důvěrných dokumentů před neoprávněným prohlížením z webové aplikace, i když byly dříve bezpečně přijaty. Webová aplikace by k šifrování dokumentu pomocí tajného klíče použila rozhraní API pro kryptografii webu a poté jej zabalila veřejnými klíči, které byly přidruženy k uživatelům, kteří mají oprávnění k prohlížení dokumentu. Po přechodu na webovou aplikaci by oprávněný uživatel obdržel zašifrovaný dokument a byl by poučen, aby pomocí svého soukromého klíče zahájil proces rozbalování, který by mu umožnil dešifrovat a zobrazit dokument.[2]

Cloudové úložiště

Mnoho firem a jednotlivců spoléhá na cloudové úložiště. Z důvodu ochrany může služba vzdálené služby chtít, aby její webová aplikace poskytovala uživatelům možnost chránit jejich důvěrné dokumenty před nahráním jejich dokumentů nebo jiných dat. Webové kryptografické rozhraní API by uživatelům umožnilo:

  • Vyberte výběr soukromého nebo tajného klíče
  • Pokud si to přejí, odvodí z jejich klíče šifrovací klíč
  • Zašifrujte jejich dokument / data
  • Nahrajte jejich šifrovaný dokument / data pomocí existujících rozhraní API poskytovatele služeb[2]

Elektronické podepisování dokumentů

Možnost elektronického podepisování dokumentů šetří čas, zvyšuje zabezpečení důležitých dokumentů a může sloužit jako právní důkaz o přijetí dokumentu uživatelem. Mnoho webových aplikací se rozhodlo přijmout elektronické podpisy místo vyžadování písemných podpisů. S Web Cryptography API by byl uživatel vyzván k výběru klíče, který by mohl být vygenerován nebo předběžně zřízen speciálně pro webovou aplikaci. Klíč pak mohl být použit během operace podepisování.

Ochrana integrity dat

Webové aplikace často ukládají data lokálně do mezipaměti, což ohrožuje data, pokud by došlo k útoku offline. Rozhraní Web Cryptography API umožňuje webové aplikaci používat a veřejný klíč nasazen zevnitř sebe k ověření integrita mezipaměti dat.[2]

Zabezpečené zasílání zpráv

Webové kryptografické rozhraní API může zvýšit zabezpečení zasílání zpráv pro použití v mimo záznam (OTR) a další typy schémat podepisování zpráv pomocí použití klíčové dohody. Odesílatel zprávy a zamýšlený příjemce vyjednají klíče sdíleného šifrování a ověřovacího kódu zprávy (MAC) k šifrování a dešifrování zpráv, aby se zabránilo neoprávněnému přístupu.[2]

Podepisování a šifrování objektů JavaScript (JOSE)

Webové kryptografické rozhraní API mohou webové aplikace používat k interakci s formáty zpráv a strukturami, které jsou definovány v rámci pracovní skupiny JOSE.[4] Aplikace umí číst a importovat Webový podpis JSON (JWK) klíče, ověřte zprávy, které byly chráněny elektronickým podpisem nebo MAC klíče a dešifrovat zprávy JWE.

Shoda s webovým kryptografickým API

W3C doporučuje, aby prodejci nepoužívali proprietární rozšíření specifická pro dodavatele se specifikacemi pro webové kryptografické API. Je to proto, že by to mohlo snížit interoperabilitu API a rozbít uživatelskou základnu, protože ne všichni uživatelé by měli přístup k určitému obsahu. Pokud nelze zabránit rozšíření specifickému pro dodavatele, doporučuje se, aby jej předpona obsahovala řetězce specifické pro dodavatele, aby se zabránilo střetům s budoucími generacemi specifikací API.

Reference

  1. ^ A b C d Turner, Dawn M. „Návrh W3C pro webové kryptografické API“. Kryptomatická. Citováno 9. května 2017.
  2. ^ A b C d E F Watson, Mark (redaktor). „Web Cryptography API W3C Navržené doporučení 15. prosince 2016“. W3C. Citováno 23. května 2017.CS1 maint: další text: seznam autorů (odkaz)
  3. ^ Watson, Mark (redaktor). „Web Cryptography API W3C Doporučení 26. ledna 2017“. W3C. Citováno 3. července 2018.CS1 maint: další text: seznam autorů (odkaz)
  4. ^ Pracovní skupina JOSE. "Javascript Object Signing and Encryption (jose)". IETF. Citováno 16. března 2017.

externí odkazy