Нет ключей к королевству: новый алгоритм единой регистрации обеспечивает превосходную конфиденциальность


За последние несколько десятилетий, когда информационная эра достигла зрелости, она сформировала мир криптографии и сделала его разнообразным. Среди множества методов кодирования и криптосистем, доступных в настоящее время для обеспечения безопасной передачи данных и идентификации пользователей, некоторые из них стали довольно популярными из-за их безопасности или практичности. Например, если вам когда-либо была предоставлена возможность войти на веб-сайт, используя свой идентификатор и пароль Facebook или Gmail, вы столкнулись с системой единого входа (SSO) на работе. То же самое касается большинства смартфонов, где вход в систему с помощью единой комбинации имени пользователя и пароля позволяет получить доступ ко многим различным службам и приложениям.

Схемы единого входа дают пользователям возможность получить доступ к нескольким системам, выполнив вход только в одну конкретную систему. Эта конкретная система называется «поставщиком удостоверений» и рассматривается как доверенный объект, который может проверять и сохранять личность пользователя. Когда пользователь пытается получить доступ к услуге через SSO, «поставщик услуг» просит этого поставщика удостоверений аутентифицировать пользователя.

У систем единого входа много преимуществ. Во-первых, пользователям не нужно запоминать несколько комбинаций имени пользователя и пароля для каждого веб-сайта или приложения. Это приводит к тому, что меньше людей забывают свои пароли и, в свою очередь, меньше телефонных звонков в центры поддержки ИТ. Кроме того, система единого входа снижает хлопоты при входе в систему, что, например, может побудить сотрудников использовать инструменты своей компании, ориентированные на безопасность, для таких задач, как безопасная передача файлов.

Но эти преимущества вызывают серьезные опасения. Системы единого входа часто используются крупными технологическими компаниями, которые в прошлом, как сообщалось, собирали личную информацию людей из приложений и веб-сайтов (поставщиков услуг) без их согласия для целевой рекламы и других маркетинговых целей. Некоторые люди также обеспокоены тем, что их идентификатор и пароль могут храниться локально третьими сторонами, когда они предоставляют их механизму единого входа.

Пытаясь решить эти проблемы, доцент Сатоши Ирияма из Токийского научного университета и его коллега доктор Маки Кихара недавно разработали новый алгоритм единого входа, который принципиально предотвращает такой целостный обмен информацией. В своей статье, опубликованной в журнале Криптография , они очень подробно описывают новый алгоритм после того, как обсудили свои мотивы его разработки. Д-р Ирияма заявляет: «Мы стремились разработать алгоритм SSO, который не раскрывает личность пользователя и конфиденциальную личную информацию поставщику услуг. Таким образом, наш алгоритм SSO использует личную информацию только для аутентификации пользователя, как первоначально предполагалось, когда SSO были введены системы «.

Из-за того, как разработан этот алгоритм единого входа, по сути, невозможно раскрыть информацию о пользователе без авторизации. Как пояснил доктор Ирияма, это достигается за счет применения принципа «обработка информации, пока она еще зашифрована». В своем алгоритме единого входа все стороны обмениваются зашифрованными сообщениями, но никогда не обмениваются ключами дешифрования, и никто никогда не владеет всеми частями головоломки, потому что ни у кого нет ключей ко всей информации. Хотя поставщик услуг (не поставщик удостоверений) узнает, был ли пользователь успешно аутентифицирован, они не получают доступа к удостоверению пользователя и какой-либо его конфиденциальной личной информации. Это, в свою очередь, разрывает ссылку, которая позволяет поставщикам удостоверений получать конкретную информацию о пользователях от поставщиков услуг.

Предлагаемая схема дает много других преимуществ. С точки зрения безопасности, он по своей конструкции невосприимчив ко всем типичным формам атак, с помощью которых происходит кража информации или паролей. Например, как объясняет д-р Ирияма, «наш алгоритм может использоваться не только с идентификатором и паролем, но и с любым другим типом идентификационной информации, такой как биометрия, данные кредитной карты и уникальные номера, известные пользователю». Это также означает, что пользователи могут предоставлять только ту личную информацию, которую они хотят раскрыть, что снижает риск того, что крупные технологические компании или другие третьи стороны украдут личную информацию. Кроме того, алгоритм работает замечательно быстро, что является важным качеством, чтобы гарантировать, что вычислительная нагрузка не препятствует его реализации.

Мы надеемся, что это исследование внесет положительные изменения в существующие системы единого входа, чтобы побудить больше пользователей использовать их и извлекать из них многочисленные выгоды.


Добавить комментарий