افزایش امنیت سایبری با درختان متحرک


یک پروفسور SUTD و همکارانش یک طرح رمز عبور یکبار مصرف با الهام از درخت را پیشنهاد می کنند که ضمن پشتیبانی از تغییر محیط های کاربر، امنیت و حریم خصوصی را فراهم می کند.

“لطفا تا دو دقیقه آینده کد را وارد کنید.” مفهوم گذرواژه های یک بار مصرف (OTP) به یک پایه اصلی در رویه های ما برای تأیید ایمن کاربر در برنامه های حساس، مانند خدمات دولتی و مالی تبدیل شده است. یک OTP استاندارد که معمولاً در طرح‌های احراز هویت چند عاملی یافت می‌شود، با اعمال محدودیت زمانی برای کاربران برای وارد کردن رمز عبور داده شده، در برابر تلاش‌های هک مقاومت می‌کند.

با این حال، در مواجهه با افزایش تهدیدات سایبری، پروتکل های OTP فعلی به آرامی منسوخ می شوند. طراحی یک پروتکل بهتر برای اعمال امنیت و حفظ حریم خصوصی اطلاعات کاربر کار ساده ای نیست. پروفسور Zhou Jianying از دانشگاه فناوری و طراحی سنگاپور (SUTD) و همکارانش اخیراً طرح جدیدی را پیشنهاد کرده اند که برخی از کاستی های روش های OTP موجود را برطرف می کند. یافته‌های این مطالعه در مقاله «گذرواژه‌های یکبار مصرف مبتنی بر زمان گروه پویا» منتشر شده است.

چندین رویکرد استاندارد برای اجرای طرح‌های OTP وجود دارد. یکی از روش‌ها که RFC 6238 نامیده می‌شود، کلیدهای متقارن را برای تولید این رمزهای عبور گذرا ذخیره می‌کند که قرار است با سرور مؤسسه به اشتراک گذاشته شوند. طرح دیگر، طرح Lamport'81، به دستگاه کاربر و سرور نیاز دارد که کلیدهای تأیید رمز عبور جداگانه داشته باشند. با این حال، هر رویکرد آسیب‌پذیری‌های خاص خود را دارد – RFC 6238 در برابر نفوذ به سرور آسیب‌پذیر است، در حالی که طرح Lamport'81 نمی‌تواند از ردیابی مخرب هویت هر کاربر جلوگیری کند. این یک گنجینه جذاب برای متخلفان احتمالی است: اگر آنها بتوانند شکافی را در سرور باز کنند، اطلاعات امنیتی برای همه کاربران در اختیار آنهاست.

تحولات در صحنه رمزنگاری ابزارهای مختلفی را برای بستن درب این آسیب پذیری پیشنهاد کرده است. پروفسور ژو یک طرح گروهی خاص مبتنی بر زمان OTP (GTOTP) را که قبلاً با همکارانش پیشنهاد شده بود، برجسته کرد. این طرح شامل یک ساختار درخت مانند به هم زدن تصادفی است که کاربران برای تأیید به هر برگ درخت برچسب می زنند. پروفسور ژو گفت: «توانایی آن در ارائه حریم خصوصی هویت کاربر در حالی که امنیت و مقیاس پذیری را تضمین می کند، در بسیاری از برنامه های کاربردی دنیای واقعی مطلوب است.

ساختار الگوریتم درختی، با این حال، پس از کاشت قابل تغییر نیست. همه کاربرانی که در راستی‌آزمایی هویت شرکت می‌کنند باید از ابتدا حضور داشته باشند — آنها نه می‌توانند خارج شوند و نه کاربران جدید می‌توانند بپیوندند.

پروفسور ژو به اشتراک گذاشت: “ماهیت ایستا ساختارهای گروهی که توسط طرح های قبلی در نظر گرفته شده بود، منعکس کننده سیالیتی که اغلب در عضویت ها دیده می شود، چه در زمینه های تجاری، پروژه های مشارکتی، یا محیط های اجتماعی” نیست.

در آخرین کار، پروفسور ژو و همکارانش طرح جدیدی به نام GTOTP پویا (DGTOTP) را مطالعه کردند که می تواند در موقعیت های عملی پیاده سازی شود. محققان بر روی دو مانع برای غلبه بر دشواری محیط‌های کاربر پویا تمرکز کردند: (1) الگوریتم‌های سریع و کارآمد برای دستگاه‌های کوچک و (2) مدیریت گروهی مجموعه انعطاف‌پذیر کاربران.

دستگاه های دستی مدرن معمولا کوچک هستند و قدرت محاسباتی زیادی ندارند. هر الگوریتمی که روی دستگاه اجرا می شود باید فشرده و کارآمد باشد. محققان یک رویکرد سه جانبه را برای کاهش سربار محاسباتی پیشنهاد می کنند.

پروفسور ژو توضیح داد: “طرح DGTOTP از راه حل های برون سپاری برای کارهایی مانند تولید رمز عبور و مدیریت استفاده می کند تا بار محاسباتی اعضای گروه را کاهش دهد. علاوه بر این، چالش های یکپارچه سازی ایمن را با افزایش ویژگی های احراز هویت پیام برطرف می کند.” به عنوان قطعه مقاومت، این طرح از یک استراتژی اولین مسئله و پیوستن بعد (IFJL) استفاده می کند که امکان مدیریت یکپارچه عملیات پیوستن را بدون ایجاد اختلال در ایالت های محلی دیگر اعضای گروه فراهم می کند.

این طرح پویا را می توان برای سناریوهای دنیای واقعی که در آن احراز هویت ایمن و کارآمد در تنظیمات گروه پویا بسیار مهم است، اعمال کرد. به عنوان مثال، محیط‌های کاری مشترک که در آن تیم‌ها اغلب اعضا را تغییر می‌دهند یا با شرکای خارجی کار می‌کنند، از دسترسی ایمن به منابع مشترک سود می‌برند و در عین حال ورود و بارگیری امن را تسهیل می‌کنند. در انجمن‌ها و انجمن‌های آنلاین، مدیران ممکن است دسترسی به بخش‌ها یا ویژگی‌های خاص را محدود کنند.

پیشنهاد پروفسور ژو تنها اولین قدم برای افزایش حریم خصوصی و امنیت است که راه‌های زیادی برای کاوش دارد. هنوز راه هایی وجود دارد تا شاهد پذیرش گسترده باشیم.

او نتیجه می‌گیرد: «برای کاربردهای عملی، توسعه مفهوم ما برای یکپارچه‌سازی ایمن امنیت لایه حمل و نقل (TLS) و DGTOTP می‌تواند منجر به توسعه پروتکلی برای ایجاد کانال اعتبار تأیید شده ناشناس متقابل شود.



منبع

Matthew Newman

Matthew Newman Matthew has over 15 years of experience in database management and software development, with a strong focus on full-stack web applications. He specializes in Django and Vue.js with expertise deploying to both server and serverless environments on AWS. He also works with relational databases and large datasets
[ Back To Top ]