DAS SCHLÜSSELTRANSPARENZPROJEKT VON GOOGLE ZIELT DARAUF AB, EINE SCHWIERIGE AUFGABE IN DER KRYPTOGRAPHIE - TECHCRUNCH - ZU ERLEICHTERN - EIGENSCHAFTEN - 2019

Anonim

Diejenigen von uns in userland müssen sich selten um die Grundlagen der Verschlüsselung kümmern, aber sie existieren trotzdem und müssen hin und wieder ersetzt oder aktualisiert werden. Google zielt auf eine besonders hartnäckige Nuss, Public Key Verification, mit einem neuen Open-Source-Projekt namens Key Transparency.

Es ist eine Art Fortsetzung von Certificate Transparency, einem Projekt mit ähnlichen Zielen, aber notwendigerweise einer ganz anderen Implementierung. Beide behandeln ein häufiges Problem im Internet: Es muss überprüft werden, ob die Person oder der Server, mit dem Sie eine Verbindung herstellen, mit Ihrer Verbindung übereinstimmt

Eine Lösung ist etwas wie Keybase, eine Sammlung verifizierter Benutzer und ihre verschiedenen kryptografischen Referenzen (PGP und all das). Was Google jedoch tun möchte, ist sicherzustellen, dass diese Kontaktdaten auf einer systematischen Ebene verifiziert werden, die auch die Privatsphäre schützt.

Mit anderen Worten, Sie sollten in der Lage sein, nicht nur einer verifizierten Adresse zu vertrauen, die Sie online finden, sondern diese Adresse sollte sich selbst als Teil des Prozesses der Verbindungsherstellung überprüfen, um Dinge wie Man-in-the-the- mittlere Angriffe.

Stellen Sie sich das so vor: Sie können die Adresse von jemandem online in einer verifizierten Quelle wie den Abstimmungsaufzeichnungen nachschlagen - aber wenn Sie ihr Haus besuchen, gibt es keine Garantie, dass die Person, die Sie haben wollen, nicht in den Rücken gebunden ist, während jemand anders nachahmt Sie. Das Hinzufügen von Key Transparency wäre so, als würde man fragen, wer die Tür öffnet, um Ihnen ihre ID zu zeigen, bevor Sie sprechen.

Okay, es ist keine perfekte Metapher, aber Sie haben die Idee.

Im Wesentlichen verwendet Key Transparency eine umfangreiche Datenbank mit Konten und ihren öffentlichen Schlüsseln, die so codiert sind, dass sie für einen Angreifer zwar unsichtbar sind, aber von Benutzern überprüft werden können. Die Details sind, um ehrlich zu sein, über meiner kryptographischen Kompetenz, aber die eigentliche Information bildet die unterste Stufe eines "Merkle-Baums", der von unten nach oben mit Informationen, die unter seinen Benutzern gehandelt werden, zusammengestellt und verifiziert werden kann Daten, nicht tatsächliche Benutzerdaten wie E-Mails und PGP-Schlüssel.

Google sagt: Merkle Tree Hash wird verwendet, um zu beweisen, dass Leaf A Teil des Root-Hashs K ist, indem Leaf A hashing und dann der resultierende Hash E mit den Zwischenknoten F und J kombiniert wird, um K zu berechnen. Wenn das berechnete K gleich ist bekannt-gut K, der Beweis ist korrekt und Blatt A ist Teil von K. Wenn das berechnete K nicht gleich dem bekannten guten K ist, muss eine Datenverfälschungswarnung angezeigt werden. (Es wird ein Quiz geben.)

Sie beginnen mit Informationen, die Sie kennen - oder denken, dass Sie wissen -, und der Hash-Wert wird den Hashes anderer Benutzer hinzugefügt und aktualisiert. Wenn dieser zweite (oder dritte oder vierte oder 256ste) Hash übereinstimmt, sind Sie gut. Wenn dies nicht der Fall ist, ist eine der Informationen falsch und muss erneut überprüft werden.

Das ist ungefähr so ​​spezifisch, wie ich bekommen kann; Sie können die Übersicht über die technische Methode auf Github lesen.

Das Endergebnis besteht darin, dass Sie Ihre Informationen nur dann verifizieren können, wenn Sie sie bereits haben und keine Informationen von anderen Benutzern der Datenbank offenlegen oder lernen. Es ist effizient, überprüfbar, hochgradig skalierbar (die niedrigste Stufe unterstützt 2 ^ 256-1 "Blätter", aber die Verifizierung erfordert nicht mehr als ein paar gleichzeitig) und kann leicht in Anmeldeinformations-Tracking-Dienste wie Keybase oder in sichere Kommunikation integriert werden.

Google arbeitete mit dem CONIKS-Team, Open Whisper Systems und dem Sicherheitsteam von Yahoo! (bald Altaba) zur Schlüsseltransparenz. Es ist "sehr frühe Tage", der Blogpost, der es ankündigt, liest, also wird es eine Weile sein, bevor es irgendwelchen Produkten hinzugefügt wird. In der Zwischenzeit können Sie die Codebasis durchlesen oder dazu beitragen.