Jump to content

МикроИД

Add links

MicroID — это децентрализованный протокол идентификации . Первоначально он был разработан в 2005 году Джереми Миллером [1] . MicroID — это простой идентификатор, содержащий хешированный URI связи/идентификации (например, адрес электронной почты , OpenID и/или Yadis ) и заявленный URL-адрес . Вместе эти два элемента создают хэш, который может быть востребован сторонними службами.

Бен Лори продемонстрировал проблемы с конфиденциальностью в 2006 году. , [ 1 ] как это сделал Крис Эрвей в техническом отчете Brown CS в 2008 году. [ 2 ]

Обмен микроID

[ редактировать ]

Вот пример хеша MicroID в псевдокоде : 

MicroID = sha1( sha1("mailto:[email protected]") + sha1("http://example.net/") );

Вычисленный MicroID затем будет размещен на веб-странице, на которую можно будет заявить права. Верификатор, который самостоятельно сгенерирует MicroID, затем посетит страницу, чтобы проверить, совпадает ли сгенерированный MicroID с MicroID на странице. Если они одинаковы, претензия существует.

MicroID основан на URI связи . Поскольку и поставщик MicroID, и верификатор могут проверять URI связи, правильная реализация MicroID позволяет использовать доверенные утверждения идентификации.

Ограничения безопасности

[ редактировать ]

MicroID — это, по сути, URI контента, подписанный адресом электронной почты или другим указанием авторства. Поскольку URI контента известен для целей сравнения, утверждение MicroID может быть подделано любым, кто знает URI связи (например, адрес электронной почты), связанный с личностью.

В частности, поскольку проверяющий должен сгенерировать MicroID для его сравнения, из этого следует, что любая сторона, которой доверено проверять MicroID пользователя, также должна иметь право генерировать с его помощью новые заявления об авторстве.

Так что если можешь проверить - можешь подделать.

Другими словами, любой (например, Алиса), который может подтвердить кому-то (например, Бобу) его MicroID на ресурсе «X», также может сгенерировать (подделать) MicroID на любом другом документе (например, Алиса может сгенерировать действительный MicroID для документа Y, не равен X, во имя Боба).

Если предположить, что личность неизвестна (например, 1) издатель решил остаться анонимным и 2) лишает других возможности проверить заявление MicroID до тех пор, пока в будущем использование не раскроет его личность), тогда кто-то, у кого есть адреса электронной почты, может выполнить тривиальная атака по словарю, чтобы определить право собственности на ресурсы, [2] кто-то, у кого есть URI, может выполнить тривиальную атаку по словарю, чтобы найти адрес электронной почты. [3]

Таким образом, (единственный) оставшийся вариант использования — это когда объект генерирует надежный криптографический одноразовый номер (например, UUID); использует это для публикации документов с течением времени — и в какой-то момент в будущем раскрывает UUID, чтобы доказать, что эти документы были написаны пользователем (и признает, что с этого момента любой может предъявлять какие-либо претензии от его или ее имени).

Ограничения конфиденциальности

[ редактировать ]

Как объяснялось выше, MicroID — это хеш, созданный из общедоступного URI и полупубличного адреса электронной почты. Те, кто знает оба, могут проверить утверждение личности на странице. Хеширование помогает скрыть полупубличный адрес электронной почты от людей, которые не должны его знать, в частности от спамеров.

Однако исследования [ 2 ] на популярных социальных сайтах, таких как Last.fm, Digg и ClaimID, показано, что атака методом перебора позволяет расшифровать адрес электронной почты в 20–25% случаев.

Атака методом перебора угадывает адреса электронной почты, полученные из общедоступного имени пользователя и другой информации, доступной на социальных веб-сайтах, и, таким образом, проверяет только дюжину или около того адресов-кандидатов на каждый MicroID. Несмотря на это, исследование показало, что простая атака, подобная этой, все же может быть успешной в четверти времени, тратя долю секунды на проверку всех кандидатов для каждого пользователя. Таким образом, схема хеширования не гарантирует конфиденциальность адреса электронной почты.

Архитектура заявки MicroID

[ редактировать ]

Пример успешного заявления MicroID выглядит следующим образом:

  1. Пользователь регистрируется в веб-сервисе. Этот веб-сервис проверяет электронную почту пользователя и создает для пользователя общедоступные веб-страницы, содержащие MicroID. Этот MicroID включает в себя хешированное электронное письмо (URI связи) и URL-адрес веб-страницы.
  2. Затем пользователь подписывается на службу верификации. Служба также проверяет электронную почту пользователя.
  3. Пользователь вводит URL-адрес страницы, которую он хочет запросить, в службу проверки. Служба проверки вычисляет MicroID и пытается проверить MicroID на заявленной странице.
  4. Если MicroID на заявленной странице совпадает с MicroID в службе проверки, заявка существует. Затем верификатор заявит право собственности на страницу.

MicroID и DOM

[ редактировать ]

MicroID позволяет заявлять права на семантические элементы HTML . Например, MicroID, вставленный в элемент уровня блока, будет представлять собой заявление о праве собственности на что-либо в этом элементе. MicroID, вставленный в заголовок страницы, будет представлять собой заявление о праве собственности на страницу. Утверждения проверяются только на уровне детализации URI.

Известные провайдеры MicroID

[ редактировать ]

Следующие веб-сервисы предоставляют MicroID своим пользователям:

Известные верификаторы MicroID

[ редактировать ]

Следующие веб-службы проверяют утверждения MicroID:

[ редактировать ]

Ссылки

[ редактировать ]
  1. ^ Лори, Бен (28 марта 2006 г.). «МикроИД» . Проверено 8 мая 2009 г.
  2. ^ Перейти обратно: а б Эрвей, Крис (22 августа 2008 г.). MicroID считается вредным (для конфиденциальности) . Информатика Университета Брауна . Проверено 8 мая 2009 г.
Retrieved from "https://en.wikipedia.org/w/index.php?title=MicroID&oldid=1056633533"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 066cb0e63848a5551d43c4673f34cde6__1637609160
URL1:https://arc.ask3.ru/arc/aa/06/e6/066cb0e63848a5551d43c4673f34cde6.html
Заголовок, (Title) документа по адресу, URL1:
MicroID - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)