پروتکل Delegated Credentials با هدف بالابردن امنیت فضای وب معرفی شد

روز گذشته شرکت‌های فیسبوک، کلاودفلر و موزیلا از کار روی پروتکل امنیتی جدیدی با نام Delegated Credentials خبر دادند؛ ظاهرا Delegated Credentials پروتکل ویژه‌ای به‌شمار می‌آید که از سوی شرکت‌های یادشده برای امن‌تر کردن فضای وب به‌منظور کوتاه کردن دست هکرها از دسترسی به اطلاعات کاربران معرفی شده است.

براساس جزئیات رسمی، پروتکل Delegated Credentials به‌نوعی مکمل TLS محسوب می‌شود؛ TLS (مخفف Transport Layer Security) در حقیقت پروتکل امنیتی خاصی است که وب‌سایت‌ها از آن به‌منظور برقراری ارتباطی امن با مرورگرهای وب بهره می‌گیرند. ظاهرا Delegated Credentials قرار است در نقش اکستنشنی برای TLS ظاهر شود. این پروتکل به‌طور ویژه برای وب‌سایت‌های بزرگ نظیر فیسبوک یا وب‌سایت‌هایی که از شبکه‌ی تحویل محتوا (CDN) استفاده می‌کنند تولید شده است.

پروتکل امنیتی TLS برای کار کردن متکی بر نوعی تکنیک خاص با نام رمزنگاری نامتقارن (Asymmetric Encryption) یا رمزنگاری کلید عمومی است. در این تکنیک، کلید مربوط به رمزنگاری با کلید مربوط به رمزگشایی تفاوت دارد. رمزنگاری نامتقارن روشی قدرتمند برای محافظت از داده‌ها به‌شمار می‌آید، با این حال وقتی بحث ارائه‌ی محتوا در فضای وب مطرح می‌شود، این روش برخی کاستی‌ها دارد که Delegated Credentials در پی برطرف ساختن آن‌ها است.

رمزنگاری نامتقارنِ پروتکل امنیتی TLS به مرورگرها اجازه می‌دهد، به‌صورت جداگانه تأیید کنند که وب‌سایت‌ها امن هستند یا خیر؛ روند تأیید امن بودن یا نبودن وب‌سایت‌ها از طریق ارسال درخواست گواهی دیجیتالی صورت می‌پذیرد. گواهی موردبحث تنها توسط گرداننده‌ی اصلی وب‌سایت و از طریق کلید رمزنگاری خصوصی منحصربه‌فردی تولید می‌شود. با این حال اگر هکرها بتوانند به‌هر نحوی به کلید خصوصی موردبحث دسترسی پیدا کنند، می‌توانند با استفاده از آن، هویت گرداننده‌ی سایت را جعل کنند و به پایش ترافیک کاربران بپردازند. 

موضوع یادشده برای وب‌سایت‌های بزرگی نظیر فیسبوک، نگرانی بسیار بزرگی به‌شمار می‌آید. شبکه‌ی اجتماعی موردبحث به‌صورت ماهانه توسط میلیاردها نفر موردبازدید قرار می‌گیرد، از همین رو فیسبوک به‌صورت ماهانه ترافیک مربوط به کاربران را با هزاران سرور تحت وب پردازش می‌کند؛ تک‌تک این سرورها دارای کلید خصوصی منحصربه‌فردی هستند که تنها خود فیسبوک به آن‌ها دسترسی دارد. اگر هکر بتواند به کلید خصوصی تنها یکی از این سرورها دست یابد، می‌تواند از لحاظ تئوری، هویت فیسبوک را جعل کند و فاجعه‌‌ی بزرگی به‌ بار بیاورد.

دقیقا همین‌جا است که پروتکل امنیتی Delegated Credentials وارد کار می‌شود. در فناوری به‌کاررفته در پروتکل Delegated Credentials به‌جای اینکه کلیدهای خصوصی روی سرورهای وب‌سایت‌ها قرار بگیرند، مجموعه‌ی جدیدی از کلیدها تولید و در بین سرورها توزیع می‌شوند. این رویکرد باعث می‌شود، کلید خصوصی هر سرور در خارج از دسترس هکرهایی قرار گیرد که ممکن است بخواهند در شبکه نفوذ کنند.

از لحاظ تئوری، امکان سوءاستفاده از کلیدهایی که توسط پروتکل Delegated Credentials در بین سرورها توزیع شده‌اند نیز وجود دارد، اما این کلیدهای جدید در مقایسه با کلیدهای اولیه مزیت مهمی دارند: کلیدهای تولیدشده توسط Delegated Credentials دارای تاریخ انقضای کوتاه‌تری هستند. امروزه وب‌سایت‌ها به‌دلیل وجود برخی محدودیت‌های فنی می‌توانند کلیدهای خصوصی‌شان را پس از گذر چند ماه یا حتی به‌صورت سالانه عوض کنند؛ اما به‌لطف Delegated Credentials امکان انجام این کار در هر چند ساعت وجود دارد. این موضوع به‌شکل درخورتوجهی روی کاهش خطرات مربوط به فاش‌شدن کلید خصوصی وب‌سایت‌ها اثر می‌گذارد.

گروهی از مهندسین فیسبوک در این زمینه گفته‌اند: «گواهی‌های مربوط به Delegated Credentials تنها برای مدت‌زمان مشخصی اعتبار دارند و پس از گذر این زمان، منقضی می‌شوند. پس از منقضی‌شدن گواهی‌ها، مرورگرهای وب آن‌ها را نخواهند پذیرفت. با اتخاذ این رویکرد، ما کاری کرده‌ایم تا مدت‌زمانی که ممکن است هکر به گواهی وب‌سایتی دسترسی داشته باشد و از آن سوءاستفاده کند، کاهش یابد.»

Delegated Credentials افزون بر مورد یادشده، یک مزیت مهم و راهبردی دیگر نیز دارد؛ این پروتکل امنیتی به شرکت‌های مختلف امکان می‌دهد که خودشان را در برابر شکسته‌شدن رمزنگاری کوانتومی (Quantum Cryptography) بیشتر از قبل محافظت کنند. 

گفته می‌شود، رایانه‌های کوانتومی سرانجام روزی آنقدر قدرتمند خواهند شد تا بتوانند بر فناوری‌های رمزنگاری امروزی نظیر TLS غلبه کنند و به‌راحتی آن‌ها را بشکنند. از همین رو محققان از مدتی پیش کار روی الگوریتم‌های رمزنگاری جدیدتر و مقاوم‌تری را شروع کرده‌اند تا اگر آن روز فرا رسید، توانایی مقابله با رایانه‌های کوانتومی را داشته باشند. پروتکل Delegated Credentials به گردانندگان وب‌سایت‌ها امکان می‌دهد با صرف زمان و هزینه‌ی کمتری نسبت به قبل، الگوریتم‌های رمزنگاری جدید یادشده را روی سرورهای‌شان پیاده‌سازی کنند. این یعنی Delegated Credentials می‌تواند تأثیر به‌سزایی روی افزایش سرعت انتقال اینترنت امروزی به دوران کوانتومی داشته باشد.

فیسبوک، کلاودفلر و موزیلا در همکاری با یک‌دیگر موفق به تولید پروتکل Delegated Credentials شده‌اند؛ این شرکت‌ها پروتکل یادشده را در اختیار کارگروه مهندسی اینترنت (Internet Engineering Task Force) قرار داده‌اند تا به‌زودی به استانداردی جدید در صنعت تبدیل شود.