Strikt vertraulich: Blockchain-basierte Lösungen zur Sicherung von Benutzerdaten

In der heutigen Realität besteht der grundlegende Weg für einen Server zur Authentifizierung eines Clients aus einem System von Logins und Passwörtern. Wir sind alle mit diesem System vertraut, in Ordnung. Wenn wir zum ersten Mal eine Website oder eine Plattform nutzen, erstellen wir ein Anmeldepasswort, um unsere weiteren Besuche zu bestätigen. Es sieht ziemlich einfach aus, aber dieses System hat eine Reihe von Nachteilen, von denen wir alle wissen.

Diese Nachteile, e. G. schwache Kennwörter, die Komplexität des Passwortmanagements, die Notwendigkeit, ein separates Passwort für jede Plattform oder Website zu speichern, hohe Chancen, Passwörter zu verlieren oder zu vergessen, führen zu einem Systembruch, der unsere persönlichen Daten für unbefugten Zugriff anfällig macht.

Nachrichten über Hacks und Entführungen kommen in letzter Zeit mit alarmierender Regelmäßigkeit. Niemand kann völlig sicher sein, dass seine Daten sicher sind, da das Problem nicht in der Hacking-Situation liegt, sondern in der zentralisierten Speicherung von Benutzerdaten, einschließlich Passwörtern und Passwort-Hashes, um sie wiederherzustellen.

Lösungen zur Sicherung von Benutzerdaten

Um eine hohe Sicherheit der Benutzerdaten zu gewährleisten, wurden einige alternative Lösungen gefunden. Am weitesten verbreitet ist SSL (Secure Socket Layer), das Identitätsüberprüfung und Sicherheit bietet, so dass der Benutzer weiß, dass er mit der richtigen Website verbunden ist und niemand ihn belästigen kann. So geht die Theorie.

In der Praxis scheint SSL etwas unordentlicher zu sein. Und diese Unordnung entsteht meist durch eine schiere Anzahl von Zertifizierungsstellen, deren Fehler bei der Überprüfung der Gültigkeit von Adressen, für die Sicherheitszertifikate ausgegeben werden, und immer noch möglichen Man-in-the-Middle-Angriffen.

Im vergangenen Jahr begann HashCoin mit der Idee, das weltweit erste dezentrale System zur digitalen Schlüsselverwaltung basierend auf Emercoin Blockchain - emcSSL - zu entwickeln.

Eliminierung des zentralen Autorisierungskanals

EmcSSL basiert auf Client-SSL-Zertifikaten, ist aber auch auf die Client-Authentifizierung angewiesen. Als Ergebnis bietet es einen sicheren, verschlüsselten Kommunikationskanal mit dem Server in einem einzigen Paket. Im Gegensatz zu anderen SSL-Systemen gibt es keine zentrale Certificate Authority (CA) - die Rolle der CA wird von der Blockchain der dezentralen Kryptowährung Emercoin übernommen, die sich ideal für die Entwicklung eines dezentralen Autorisierungssystems eignet.

& ldquo; Emercoin basiert auf der NVS-Technologie, mit der große Datenmengen von bis zu 20 KB gespeichert werden können. Es reicht aus, Zertifikatdaten zu speichern, & rdquo; sagt Nikolay Pavlovskiy, CTO bei HashCoins. & ldquo; Es ist möglich, verschiedene technologische Lösungen auf NVS - Domain Name System, ein System für die Verteilung von SSH öffentlichen Schlüsseln und viele andere zu bauen.& rdquo;

Laut Pawlowski haben diese Lösungen ihre Effizienz bewiesen. Er versichert, dass dies eines der herausragenden Merkmale von Emercoin ist. Blockchain ist ideal für die Entwicklung eines dezentralen Autorisierungssystems.

Die Emercoin Blockchain dient als vertrauenswürdiger Speicher für SSL-Zertifikat-Hashes und bietet eine eindeutige Benutzer-ID, die Lösungen für zwei wichtige Probleme bietet. Erstens stellt es die Geheimhaltung vertraulicher Benutzerdaten sicher.

Zweitens entfällt die Notwendigkeit einer Zentralisierung, wodurch das System auf die globale Ebene skaliert werden kann. Innerhalb des Systems werden Client-SSL-Zertifikate vollständig auf der Client-Seite generiert und aktualisiert, ohne dass Einschränkungen oder die Notwendigkeit einer Interaktion mit einer anderen Partei bestehen.

Schauen wir uns an, wie gut die Idee ist, Endnutzer für ihre eigene Sicherheitsinfrastruktur verantwortlich zu machen?

So funktioniert es

So kommt der Strom in die Hände des Benutzers, der für die Ausstellung und sichere Aufbewahrung des Sicherheitszertifikats verantwortlich ist. Er erhält einen All-in-One-Pass für alle von ihm genutzten Plattformen, der nicht von einer Website, einem Zertifizierer, im Grunde niemand, sondern vom Benutzer abhängt. Wie genau funktioniert es?

Wenn Sie eine emcSSL-fähige Site besuchen, fordert die Site Ihren Browser auf, ein Clientzertifikat vorzulegen. Wenn der Client kein Zertifikat besitzt oder kein Zertifikat bereitstellt, kann der Server je nach den Einstellungen zu einem herkömmlichen Passwortauthentifizierungssystem wechseln oder den Vorgang ablehnen.

Wenn das Zertifikat existiert, senden Sie es und der Browser verbindet den Server automatisch mit einem Zertifikat. Nach Erhalt eines Zertifikats überprüft der Server seinerseits die Signatur. Die erfolgreiche Überprüfung der Signatur beweist, dass das Zertifikat für das emcSSL-System generiert wurde.

Der Server generiert eine Zufallszahl (Sitzungskennwort), verschlüsselt sie mit dem öffentlichen Schlüssel des präsentierten Zertifikats und sendet sie an den Browser des Benutzers. Das Sitzungskennwort ist dafür und nur für diese Verbindung eingerichtet. Der Browser extrahiert den privaten Schlüssel und verwendet ihn zum Entschlüsseln des vom Server gesendeten Kennworts, um eine sichere HTTPS-Verbindung mit dem Server herzustellen.

In diesem System verlässt der private Schlüssel niemals den Computer des Benutzers. Selbst wenn ein Zertifikat während der Übertragung über das Netzwerk abgefangen wird, kann nur der Benutzer es verwenden, da ein Angreifer den privaten Schlüssel nicht kennt.

& ldquo; Falls jemand Ihr Gerät stiehlt, kann er Zugang zu den Webseiten unter Ihren Zugangsdaten bekommen, & rdquo; erklärt Pawlowskij. & ldquo; Mit Emercoin kann der Benutzer jedoch leicht sein Zertifikat zurückziehen, wenn er feststellt, dass das System kompromittiert wurde. & rdquo;

Der Entzug eines Zertifikats kann ein echtes Problem in Systemen sein, die die Blockchain-Technologie nicht bereitstellen. Ein Zertifikat autorisiert das Gerät des Benutzers. Um die Sicherheit wichtiger Daten, beispielsweise über die Finanzen, zu gewährleisten, müssen zusätzliche Sicherheitsebenen verwendet werden.

emcSSL Blockchain-Architektur

Wie verhält sich der Server, nachdem er sichergestellt hat, dass der Client über einen gültigen privaten Schlüssel verfügt?Es überprüft das Zertifikat anhand der Informationen in der Emercoin Blockchain.

Zu ​​diesem Zweck extrahiert es die Zertifikatsseriennummer und führt eine EMC NVS-Suche für diese Seriennummer durch, um einen Zertifikathash zu erhalten, den der Benutzer in Blockchain hochgeladen hat. Der Server berechnet eine Prüfsumme für das neu empfangene Zertifikat mit der entsprechenden Seriennummer in der Blockchain.

Mit anderen Worten, der Server bestätigt, dass das Client-Zertifikat, das die Seriennummer N enthält, derselbe Client ist, der zuvor die gleiche Seriennummer N besucht hat, da diese Seriennummer nur einmal innerhalb des NVS-Subsystems von Emercoin registriert werden kann. Falls ein Angreifer ein anderes Zertifikat mit der gleichen Seriennummer generiert, ist es nicht möglich, dieselbe Checksumme in die Blockchain hochzuladen, da diese bereits vom Benutzer übernommen wurde.

Wenn sie ein Zertifikat mit einer anderen Seriennummer generieren, hat es eine andere Benutzer-ID und der Server erstellt ein separates Konto. Außerdem ermöglicht die emcSSL Blockchain-Architektur eine schnelle Zurückziehung eines kompromittierten Zertifikats und dessen sofortigen Ersatz im Gegensatz zum CRL- und OCSP-Protokoll, das anfällig für MITM-Angriffe ist.

Methoden der Implementierung

Im Allgemeinen ist emcSSL groß und sicher, aber es fehlt eine einfache Methode der Implementierung. & ldquo; Die größte Herausforderung bei der Integration dieser Lösung besteht darin, ein Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit für einen Benutzer zu gewährleisten, & quot; erklärt Pawlowskij. & ldquo; Wenn Sie mit einem Klick ein Sicherheitszertifikat erhalten möchten, müssen Sie sich an eine Behörde wenden. Es ist bequem, aber nicht sicher. Wenn Sie das Zertifikat selbst ausstellen möchten, müssen Sie eine technisch versierte Person sein und eine Reihe von Manipulationen durchführen. & rdquo;

Im Moment funktioniert die klassische emcSSL nur im Emercoin Pool und im Emercoin Web Wallet. Eines der Probleme bei der Integration von emcSSL betrifft eher strenge Qualifikationsanforderungen an Site-Administratoren.

& ldquo; Aus diesem besonderen Grund haben wir uns entschieden, Authorizer zu erstellen, da wir glauben, dass dies den Prozess der Integration unserer Lösung wesentlich vereinfachen würde. fährt Pawlowski fort. & ldquo; Angenommen, Sie führen eine Website auf WordPress, die Verbindung mit emcSSL dauert nur ein paar Minuten und im Grunde kann jeder das tun, auch ohne Programmierkenntnisse. & rdquo;

Pawlowski sagt zu Cointelegraph:

& ldquo; Jetzt konzentrieren wir uns auf die Entwicklung von Autorisierungsmodulen für gängige CMS. Modul für WordPress ist fertig, das nächste wäre Drupal und andere. Wir verwenden einen Standard oAuth2. 0, daher wird es für erfahrene Programmierer nicht schwierig sein, sie in ihre Projekte zu integrieren. Sobald der Test abgeschlossen ist, planen wir, die emcSSL-Autorisierung im HashFlare-Dienst hinzuzufügen, der mehr als 500.000 aktive Benutzer hat. & rdquo;

Es ist schwer zu sagen, wie viel Zeit benötigt wird, um vollständig auf eine passwortlose Autorisierung umzusteigen. In diesem speziellen Moment ist das Authorizer-Projekt hauptsächlich auf die cryptocommunity ausgerichtet.Hacks und das Abfangen von Passwörtern stellen ein großes Problem für Kryptounternehmen dar, und HashCoin versucht, die Aufmerksamkeit der Branchenführer auf dieses Problem zu lenken und versucht bei der Integration ihrer Lösungen zusammenzuarbeiten.


Folge uns auf Facebook


  • Blockchain News
  • Sicherheit