Web Şifreleme API'si - Web Cryptography API

Web Şifreleme API'si ... World Wide Web Konsorsiyumu Güvenliğini artıracak düşük seviyeli bir arayüz için ’in (W3C) önerisi Web uygulamaları performans göstermelerine izin vererek kriptografik işlevler ham anahtarlama materyaline erişmek zorunda kalmadan.[1] Bu agnostik API gibi temel şifreleme işlemlerini gerçekleştirir hashing, imza oluşturma ve doğrulama ve şifreleme Hem de şifre çözme bir web uygulamasından.[2]

Açıklama

World Wide Web Consortium (W3C), 1994 yılında Tim Berners-Lee World Wide Web'in orijinal mimarı kimdir. Bu konsorsiyum, İnternet ve World Wide Web ile ilgilenen uluslararası şirketlerden oluşur. Amacı gelişmektir açık standartlar ve Web'in tek bir yönde gelişmeye devam etmesine ve potansiyel olarak birbirleriyle rekabet edebilecek farklı gruplara bölünmesine izin verecek önerilerde bulunun.

26 Ocak 2017'de W3C, Web Şifreleme API'sine ilişkin önerisini yayınladı[3] Web uygulamalarında temel kriptografik işlemleri gerçekleştirebilen. Bu agnostik API, JavaScript veri alışverişinin güvenliğini artıracak işlemler gerçekleştirmek Web uygulamaları. API, oluşturmak ve / veya yönetmek için düşük seviyeli bir arayüz sağlar genel anahtarlar ve özel anahtarlar için hashing, elektronik imza oluşturma ve doğrulama ve şifreleme ve şifre çözme web uygulamalarıyla kullanım için.

Web Şifreleme API'si, aşağıdakiler dahil çok çeşitli kullanımlar için kullanılabilir:

Web Şifreleme API'sı doğası gereği agnostik olduğundan, herhangi bir platform. Ortak bir dizi sağlar arayüzler bu izin verir zengin İnternet uygulamaları ham anahtarlama materyaline erişmeye gerek kalmadan kriptografik işlevleri yürütmek. Bu, yukarıdaki kriptografik işlemleri gerçekleştirmek için bir grup yöntemi tanımlayan SubtleCrypto arayüzünün yardımıyla yapılacaktır. Web Şifreleme API'sindeki ek arayüzler, anahtar üretme, anahtar türetme ve anahtar içeri ve dışarı aktarmaya izin verir.[1]

Web Şifreleme API'sini kullanma vizyonu

W3C’nin Web Şifreleme API'si spesifikasyonu, yalnızca birkaç uygulamayla bilinenlere karşı platforma özgü ve standartlaştırılmış şifreleme API'leri arasında şu anda var olan ortak işlevlere ve özelliklere odaklanır. Grubun Web Şifreleme API'sinin kullanımına yönelik önerisi, zorunlu bir algoritma setinin uygulanması gerektiğini belirtmez. Bunun nedeni, kriptografik uygulamaların uygun kullanıcı aracıları arasında farklılık göstereceğinin farkındalığından kaynaklanmaktadır. hükümet düzenlemeleri, yerel politikalar, güvenlik uygulamalar ve fikri mülkiyet endişeler.

Web Şifreleme API'sinin kullanım için çok uygun olabileceği birçok mevcut web uygulaması türü vardır.[1]

Çok faktörlü kimlik doğrulama

Bugün çok faktörlü kimlik doğrulama çevrimiçi bankacılık gibi bir web uygulamasının kullanıcısının kimliğini doğrulamak için en güvenilir yöntemlerden biri olarak kabul edilir. Birçok web uygulaması şu anda hem kullanıcıyı hem de kullanıcı aracısını korumak için bu kimlik doğrulama yöntemine bağlıdır. Web Şifreleme API'si ile, bir web uygulaması, kullanıcı erişimini doğrulamak için gizli anahtarlama materyaline taşıma katmanı kimlik doğrulamasına güvenmek yerine kendi içinden kimlik doğrulama sağlama yeteneğine sahip olacaktır. Bu süreç, kullanıcı için daha zengin bir deneyim sağlayacaktır.

Web Şifreleme API'si, uygulamanın, daha önce kullanıcı aracısı tarafından oluşturulan veya web uygulaması tarafından önceden sağlanmış olan uygun istemci anahtarlarını bulmasına izin verir. Uygulama, kullanıcının hesabıyla zaten ilişkilendirilmiş bir anahtara sahip olmaması durumunda, kullanıcı aracısına yeni bir anahtar oluşturma veya mevcut bir anahtarı yeniden kullanma yeteneği verebilir. Bu süreci, taşıma katmanı Güvenliği kullanıcının kimlik doğrulaması yaptığı için, çok faktörlü kimlik doğrulama süreci, temeldeki aktarıma dayalı bir anahtarın türetilmesiyle ek olarak güçlendirilebilir.[1][2]

Korumalı belge değişimi

API, hassas veya gizli belgelerin, daha önce güvenli bir şekilde alınmış olsalar bile, bir web uygulaması içinden yetkisiz olarak görüntülenmesini önlemek için kullanılabilir. Web uygulaması, belgeyi gizli bir anahtarla şifrelemek için Web Şifreleme API'sini kullanır ve ardından belgeyi görüntüleme yetkisi olan kullanıcılarla ilişkilendirilmiş ortak anahtarlarla sarar. Web uygulamasına gittikten sonra, yetkili kullanıcı şifrelenmiş olan belgeyi alacak ve belgenin şifresini çözmesine ve görüntülemesine olanak tanıyan açma sürecini başlatmak için kendi özel anahtarını kullanması istenecektir.[2]

Bulut depolama

Birçok işletme ve birey güveniyor Bulut depolama. Koruma için, uzak hizmet sağlayıcı, web uygulamalarının kullanıcılara belgelerini veya diğer verileri yüklemeden önce gizli belgelerini koruma yeteneği vermesini isteyebilir. Web Şifreleme API'si kullanıcıların şunları yapmasına izin verir:

  • Özel veya gizli bir anahtar seçmeyi seçin
  • İsterlerse anahtarlarından bir şifreleme anahtarı elde edin
  • Belgelerini / verilerini şifreleyin
  • Servis sağlayıcının mevcut API'larını kullanarak şifrelenmiş belgelerini / verilerini yükleyin[2]

Elektronik belge imzalama

Belgeleri elektronik olarak imzalama yeteneği zamandan kazandırır, önemli belgelerin güvenliğini artırır ve kullanıcının bir belgeyi kabul ettiğinin yasal kanıtı olarak işlev görebilir. Birçok web uygulaması kabul etmeyi seçer elektronik imzalar yazılı imza istemek yerine. Web Şifreleme API'si ile, bir kullanıcıdan web uygulaması için özel olarak oluşturulabilecek veya önceden sağlanabilecek bir anahtar seçmesi istenecektir. Anahtar daha sonra imzalama işlemi sırasında kullanılabilir.

Veri bütünlüğünün korunması

Web uygulamaları verileri genellikle yerel olarak önbelleğe alır ve bu da, çevrimdışı bir saldırı olması durumunda verileri tehlikeye atar. Web Şifreleme API'si, web uygulamasının bir Genel anahtar doğrulamak için kendi içinden konuşlandırıldı bütünlük veri önbelleğinin.[2]

Güvenli mesajlaşma

Web Şifreleme API'si, mesajlaşma kullanmak için kayıt dışı (OTR) ve anahtar anlaşmanın kullanılması yoluyla diğer tipte mesaj imzalama şemaları. Mesajı gönderen ve hedeflenen alıcı, yetkisiz erişimi önlemek için mesajları şifrelemek ve şifresini çözmek için paylaşılan şifreleme ve mesaj doğrulama kodu (MAC) anahtarları üzerinde pazarlık yapacaktır.[2]

JavaScript Nesne İmzalama ve Şifreleme (JOSE)

Web Şifreleme API'si, web uygulamaları tarafından JOSE Çalışma Grubu altında tanımlanan mesaj formatları ve yapıları ile etkileşimde bulunmak için kullanılabilir.[4] Uygulama okuyabilir ve içe aktarabilir JSON Web İmzası (JWK) anahtarları, elektronik imzalama yoluyla korunan mesajları doğrular veya MAC anahtarlar ve JWE mesajlarının şifresini çözün.

Web Şifreleme API'sine Uyum

W3C, satıcıların, Web Şifreleme API'sı spesifikasyonlarına sahip satıcıya özel özel uzantıları kullanmaktan kaçınmasını önerir. Bunun nedeni, API'nin birlikte çalışabilirliğini azaltabileceği ve tüm kullanıcılar belirli içeriğe erişemeyeceğinden kullanıcı tabanını parçalayabileceği içindir. Satıcıya özgü bir uzantıdan kaçınılamadığında, satıcının, API özelliklerinin gelecek nesilleriyle çatışmaları önlemek için satıcıya özgü dizelerle öneklemesi yapması önerilir.

Referanslar

  1. ^ a b c d Turner, Dawn M. "W3C'nin Web Şifreleme API'si Önerisi". Cryptomathic. Alındı 9 Mayıs 2017.
  2. ^ a b c d e f Watson, Mark (Editör). "Web Şifreleme API W3C Önerisi 15 Aralık 2016". W3C. Alındı 23 Mayıs 2017.CS1 bakimi: ek metin: yazarlar listesi (bağlantı)
  3. ^ Watson, Mark (Editör). "Web Şifreleme API W3C Önerisi 26 Ocak 2017". W3C. Alındı 3 Temmuz 2018.CS1 bakimi: ek metin: yazarlar listesi (bağlantı)
  4. ^ JOSE Çalışma Grubu. "Javascript Nesne İmzalama ve Şifreleme (jose)". IETF. Alındı 16 Mart 2017.

Dış bağlantılar