Используя цифровые подписи для аутентификации и токены biscuit для авторизации, Space and Time гарантирует надежное решение для обеспечения безопасности…

Безопасность — критически важный компонент любого программного обеспечения, но часто решения упускаются из виду или недостаточно прорабатываются перед выходом на рынок. Появление Web3 создает новые проблемы безопасности и требует более надежных гарантий безопасности. Таким образом, традиционные решения в области безопасности должны быть переосмыслены для сетей без доверия. Space and Time революционизирует хранилища данных с помощью технологии нового поколения, защищенной децентрализованной аутентификацией и авторизацией.

Подтверждение подлинности личности пользователя — важный первый шаг в обеспечении безопасности любого приложения. Исторически сложилось так, что аутентификация чаще всего опирается на учетные данные пользователя — имя пользователя и пароль. Несмотря на свою простоту и элегантность, это типовое решение основано на доверии и централизации, что делает его противоречащим самой сути Web3 и создает условия для злоумышленников. Когда пользовательские секреты хранятся в сети, участник сети может легко проверить, изменить или даже запретить доступ к законным учетным данным.

Web2 устраняет некоторые из ключевых недостатков классической аутентификации, при этом аутентификация по паролю все больше уходит в прошлое в пользу MFA, биометрии и других беспарольных решений. Но эти альтернативы, хотя и являются более безопасными, не обеспечивают децентрализации и доверия, необходимых в Web3.

Для безопасной работы сети без доверия и централизации аутентификация может быть реализована с помощью цифровых подписей — математических схем, которые проверяют подлинность личности пользователя. Эти подписи основаны на криптографии с открытым ключом — асимметричном криптографическом решении, которое устраняет необходимость обмена секретной информацией между пользователем и сетью. В этой системе пользователь генерирует пару ключей — один личный и один открытый, где личный ключ хранится в секрете владельцем, а открытый ключ может свободно распространяться без ущерба для безопасности.

Аутентификация на основе цифровой подписи требует, чтобы сетевой запрос содержал два параметра: тело и подпись. Тело запроса можно рассматривать как “сообщение” (например, “Джон просит БД вернуть 10 верхних строк некоторой таблицы”), а подпись — как “доказательство” (например, “отправлено от Джона”). Отправитель генерирует подпись, шифруя тело запроса своим закрытым ключом. Получатель проверяет запрос, расшифровывая подпись с помощью открытого ключа отправителя. Если расшифрованная подпись и тело запроса совпадают, получатель может быть уверен, что сообщение было создано известным отправителем и не было изменено при передаче. Это позволяет обмениваться информацией в сети без необходимости проверки ее целостности и подлинности центральным органом.

После аутентификации пользователя сеть должна проверить, разрешено ли ему выполнять запрошенную операцию. Наиболее простым способом авторизации является использование списков контроля доступа (ACL): набор параметров, хранящихся в битовой строке, которые определяют, каким пользователям предоставляется доступ к определенному системному ресурсу. Хотя ACL легко работают в среде Web2, они не могут храниться в сети без доверия, и поэтому несовместимы с фундаментальными принципами решения Web3.

Авторизация в среде без доверия может поддерживаться схемой маркеров на основе возможностей, когда пользователь предъявляет маркер, предоставляющий полномочия на определенный ресурс. В случае Space and Time авторизация зависит от Biscuit — токена авторизации, аналогичного JWT. Некоторые ключевые особенности токена Biscuit включают:

• Децентрализованная проверка — токены Biscuit основаны на криптографии с открытым ключом.

• **Автономное ослабление **— Новые, более ограничительные токены могут быть сгенерированы из существующих токенов без привлечения третьей стороны.

• Язык политик — политики авторизации написаны на Datalog (язык логики), что позволяет лаконично моделировать сложные взаимосвязи.

• Простота отзыва — Каждый токен поставляется с уникальным идентификатором отзыва, который может быть использован для отказа от токена и всех ослабленных производных в случае компрометации.

Как было описано ранее, аутентификация с помощью криптографии с открытым ключом требует, чтобы каждый пользователь генерировал открытый и закрытый ключ, распространял открытый ключ и подписывал запросы закрытым ключом. Biscuit авторизация опирается на тот же механизм. Каждый ресурс ассоциируется с уникальным открытым ключом, хранящимся в сети, и уникальным закрытым ключом, хранящимся у его создателя. Чтобы получить доступ к ресурсу, пользователь должен предоставить токен biscuit, подписанный соответствующим закрытым ключом. Подпись токена затем проверяется по связанному с ним открытому ключу.

Авторизация с помощью токенов biscuit предоставляет конечному пользователю значительную гибкость. Когда создается новый ресурс, закрытый ключ может быть использован для создания токена biscuit с любым критерием возможностей (например, доступ к таблице только для чтения, доступ для чтения и записи, ограниченный по времени, и т.д.), Примечательно, что сеть должна хранить только один открытый ключ для каждого ресурса, чтобы поддерживать практически бесконечный уровень авторизации.

Используя цифровые подписи для аутентификации и токены biscuit для авторизации, Space and Time гарантирует укрепленное, надежное и масштабируемое решение для обеспечения безопасности. Поскольку глобальная экосистема программного обеспечения все дальше продвигается в мир Web3, разработчикам dApp и крупным предприятиям гарантировано безопасное взаимодействие с передовой технологией децентрализованного хранилища данных.

Оригинал: https://www.spaceandtime.io/blog/decentralized-security-for-blockchain

Website | Twitter | Linkedin | Discord | Telegram | Youtube | Instagram | Reddit | CrunchBase

Используя цифровые подписи для аутентификации и токены biscuit для авторизации, Space and Time гарантирует надежное решение для обеспечения безопасности…

Безопасность — критически важный компонент любого программного обеспечения, но часто решения упускаются из виду или недостаточно прорабатываются перед выходом на рынок. Появление Web3 создает новые проблемы безопасности и требует более надежных гарантий безопасности. Таким образом, традиционные решения в области безопасности должны быть переосмыслены для сетей без доверия. Space and Time революционизирует хранилища данных с помощью технологии нового поколения, защищенной децентрализованной аутентификацией и авторизацией.

Подтверждение подлинности личности пользователя — важный первый шаг в обеспечении безопасности любого приложения. Исторически сложилось так, что аутентификация чаще всего опирается на учетные данные пользователя — имя пользователя и пароль. Несмотря на свою простоту и элегантность, это типовое решение основано на доверии и централизации, что делает его противоречащим самой сути Web3 и создает условия для злоумышленников. Когда пользовательские секреты хранятся в сети, участник сети может легко проверить, изменить или даже запретить доступ к законным учетным данным.

Web2 устраняет некоторые из ключевых недостатков классической аутентификации, при этом аутентификация по паролю все больше уходит в прошлое в пользу MFA, биометрии и других беспарольных решений. Но эти альтернативы, хотя и являются более безопасными, не обеспечивают децентрализации и доверия, необходимых в Web3.

Для безопасной работы сети без доверия и централизации аутентификация может быть реализована с помощью цифровых подписей — математических схем, которые проверяют подлинность личности пользователя. Эти подписи основаны на криптографии с открытым ключом — асимметричном криптографическом решении, которое устраняет необходимость обмена секретной информацией между пользователем и сетью. В этой системе пользователь генерирует пару ключей — один личный и один открытый, где личный ключ хранится в секрете владельцем, а открытый ключ может свободно распространяться без ущерба для безопасности.

Аутентификация на основе цифровой подписи требует, чтобы сетевой запрос содержал два параметра: тело и подпись. Тело запроса можно рассматривать как “сообщение” (например, “Джон просит БД вернуть 10 верхних строк некоторой таблицы”), а подпись — как “доказательство” (например, “отправлено от Джона”). Отправитель генерирует подпись, шифруя тело запроса своим закрытым ключом. Получатель проверяет запрос, расшифровывая подпись с помощью открытого ключа отправителя. Если расшифрованная подпись и тело запроса совпадают, получатель может быть уверен, что сообщение было создано известным отправителем и не было изменено при передаче. Это позволяет обмениваться информацией в сети без необходимости проверки ее целостности и подлинности центральным органом.

После аутентификации пользователя сеть должна проверить, разрешено ли ему выполнять запрошенную операцию. Наиболее простым способом авторизации является использование списков контроля доступа (ACL): набор параметров, хранящихся в битовой строке, которые определяют, каким пользователям предоставляется доступ к определенному системному ресурсу. Хотя ACL легко работают в среде Web2, они не могут храниться в сети без доверия, и поэтому несовместимы с фундаментальными принципами решения Web3.

Авторизация в среде без доверия может поддерживаться схемой маркеров на основе возможностей, когда пользователь предъявляет маркер, предоставляющий полномочия на определенный ресурс. В случае Space and Time авторизация зависит от Biscuit — токена авторизации, аналогичного JWT. Некоторые ключевые особенности токена Biscuit включают:

• Децентрализованная проверка — токены Biscuit основаны на криптографии с открытым ключом.

• **Автономное ослабление **— Новые, более ограничительные токены могут быть сгенерированы из существующих токенов без привлечения третьей стороны.

• Язык политик — политики авторизации написаны на Datalog (язык логики), что позволяет лаконично моделировать сложные взаимосвязи.

• Простота отзыва — Каждый токен поставляется с уникальным идентификатором отзыва, который может быть использован для отказа от токена и всех ослабленных производных в случае компрометации.

Как было описано ранее, аутентификация с помощью криптографии с открытым ключом требует, чтобы каждый пользователь генерировал открытый и закрытый ключ, распространял открытый ключ и подписывал запросы закрытым ключом. Biscuit авторизация опирается на тот же механизм. Каждый ресурс ассоциируется с уникальным открытым ключом, хранящимся в сети, и уникальным закрытым ключом, хранящимся у его создателя. Чтобы получить доступ к ресурсу, пользователь должен предоставить токен biscuit, подписанный соответствующим закрытым ключом. Подпись токена затем проверяется по связанному с ним открытому ключу.

Авторизация с помощью токенов biscuit предоставляет конечному пользователю значительную гибкость. Когда создается новый ресурс, закрытый ключ может быть использован для создания токена biscuit с любым критерием возможностей (например, доступ к таблице только для чтения, доступ для чтения и записи, ограниченный по времени, и т.д.), Примечательно, что сеть должна хранить только один открытый ключ для каждого ресурса, чтобы поддерживать практически бесконечный уровень авторизации.

Используя цифровые подписи для аутентификации и токены biscuit для авторизации, Space and Time гарантирует укрепленное, надежное и масштабируемое решение для обеспечения безопасности. Поскольку глобальная экосистема программного обеспечения все дальше продвигается в мир Web3, разработчикам dApp и крупным предприятиям гарантировано безопасное взаимодействие с передовой технологией децентрализованного хранилища данных.

Оригинал: https://www.spaceandtime.io/blog/decentralized-security-for-blockchain

Website | Twitter | Linkedin | Discord | Telegram | Youtube | Instagram | Reddit | CrunchBase