Remme

Die Public Key Infrastructure (PKI) ist ein System zur Ausstellung, Speicherung und Überprüfung digitaler Zertifikate und zur Verwaltung öffentlicher Schlüssel. PKI ist eine Grundlage für die sichere Kommunikation über das Internet und ist sowohl bei Interaktionen von Mensch zu Mensch als auch bei der Kommunikation von Maschine zu Maschine weit verbreitet.

PKI ist eine hervorragende Sicherheitsabwehr an vorderster Front gegen verschiedene Formen von Hacking, einschließlich Phishing und Man-in-the-Middle-Angriffe aber jüngste Entwicklungen wie SIM-Austausch – die 2FA durchdringen – haben zu einigen schwerwiegenden Datenverletzungen geführt. Ein wesentlicher Faktor für die Fähigkeit von Hackern, Angriffe auszuführen, die die Ausstellung digitaler Zertifikate imitieren oder umgehen, ist die Zentralisierung der traditionellen PKI-Struktur.

Remme

Herkömmliche PKI-Systeme verlassen sich auf Certificate Authorities (CA), um die Registrierung und Ausstellung digitaler Zertifikate in der Regel über eine asymmetrische Verschlüsselung (mit öffentlichem Schlüssel) zu verarbeiten. Zertifizierungsstellen unterliegen jedoch einer nicht autorisierten Zertifikatsreplikation, wie dies bei Symantec – einer beliebten Zertifizierungsstelle – der Fall ist. Problem mit Google-Authentifizierungszertifikaten und dem anschließenden Widerruf von Symantec-Zertifikaten durch Google.

Darüber hinaus können Phishing-Angriffe – unterstützt durch schwarze Suchmaschinenoptimierung und Werbung – Benutzer-2FA-Details sammeln, auf die man sich verlassen kann SSL / TSL ist anfällig für nicht selbstsignierte Zertifikate erhalten durch Dienste wie LetsEncrypt. Benutzer bemerken normalerweise nicht die subtilen Unterschiede, ob das angezeigte Zertifikat vollständig überprüft wurde oder nicht. DNS-Hijacking kann auch dazu führen, dass Hacker neue SSL / TLS-Zertifikate für erstellen gefälschte Websites (über die IP-Adresse) mithilfe einer Zertifizierungsstelle, die auf einen DNS-Eintrag verweist, um den Besitz nachzuweisen.

Angriffe, die auf Spielen der PKI-Infrastruktur basieren, beruhen normalerweise auf der Manipulation der Zentralität von Zertifizierungsstellen. REMME – die Zugriffsverwaltungsplattform für Unternehmen – verwendet eine öffentliche Blockchain (REMChain) und X.509 Selbstsignierte digitale Zertifikate zur verbesserten Authentifizierung und Verbriefung des Benutzerzugriffs. Angesichts der hohen Sicherheit des Kryptowährungsaustauschs bietet die Analyse von REMChain und seines Konsenses für die sichere Speicherung, Ausstellung und Validierung digitaler Zertifikate einen hervorragenden Einblick in die Nutzung von Blockchains für verbesserte Sicherheit und Benutzerauthentifizierung.

Wie das Protokoll funktioniert

REMME Verwendet eine öffentliche Blockchain als Ersatz für die Zertifizierungsstelle innerhalb einer verteilten PKI-Infrastruktur und dezentralisiert das Ökosystem, das die Authentifizierung digitaler Zertifikate ermöglicht, kritisch. REMChain ist Open Source und basierend auf Hyperledger SägezahnBlockchain-Implementierung.

Die verteilte PKI (dPKI) von REMME wurde entwickelt, um zentrale Fehlerquellen zu reduzieren. Die Rolle der Zertifizierungsstelle spielt die Blockchain und wird durch einen proprietären Proof-of-Service-Konsens, der von Masternodes im Netzwerk durchgeführt wird, genau eingehalten. Die REMChain fungiert als verteilte Speicherschicht für den Zertifikatstatus (gültig oder widerrufen), den Hash, den öffentlichen Schlüssel und das Ablaufdatum.

Remchain-Konsens

Bevor Sie in den Konsens eintauchen, ist es wichtig, den Gesamtfluss der Ausstellung, Speicherung und Authentifizierung digitaler Zertifikate zu bewerten.

Zertifikatsausstellung

  1. Ein digitales Zertifikat wird auf einem REMChain-Lichtknoten (Benutzergerät) generiert..
  2. Der Benutzer sendet eine Anfrage an REMChain, um den öffentlichen Schlüssel des digitalen Zertifikats in der Blockchain zu speichern.
  3. Die Masterknoten durchlaufen den Proof-of-Service-Konsensprozess, und das Zertifikat wird signiert, in den privaten Schlüssel des Zertifikats integriert und an das Benutzergerät zurückgegeben.
  4. Der Zertifikatstatus, der Hash, der öffentliche Schlüssel und das Ablaufdatum werden in der Kette gespeichert.

Zertifikatsüberprüfung

  1. Der Zertifikatsinhaber sendet einen öffentlichen Teil des Zertifikats an REMChain Masternodes, um eine Zugriffsanforderung zu erhalten.
  2. Masterknoten verweisen auf die Gültigkeit (den Status) des digitalen Zertifikats auf der REMChain sowie auf dessen Ablaufdatum.
  3. Der Server gewährt dem Benutzer bei gültiger Authentifizierung Zertifikatzugriff.

Widerruf des Zertifikats (d. H. Gerät gestohlen)

  1. Der Zertifikatsinhaber sendet einen öffentlichen Teil des Zertifikats an REMChain Masternodes und fordert den Widerruf des Zertifikats an.
  2. Der Benutzer signiert die Transaktion mit einem Schlüssel, der dem Eigentumsnachweis entspricht.
  3. Masterknoten verweisen auf die Gültigkeit des Zertifikats in REMChain
  4. Masterknoten ändern den Zertifikatstatus bei Erfolg in widerrufen / ungültig.

Die Masterknoten führen die ordnungsgemäße Authentifizierung und Referenzierung von Zertifikaten auf der REMChain als Teil der Konsensschicht im Netzwerk durch. Der Konsens von REMChain, der als Proof-of-Service bezeichnet wird, ist eine Mischung aus Proof-of-Stake- und Reputationsanreizen zwischen den Masternodes und den „Komitees“.

Masterknoten steuern effektiv die Überprüfung und den Widerruf digitaler Zertifikate auf REMChain. Spezifische Anreiz- und Entwurfsstrukturen sind erforderlich, um sicherzustellen, dass Masternodes eine Einigung über den Status der REMChain erzielen, ohne dass bestimmte Masternodes unangemessenen Einfluss auf das System erlangen.

REMChain nähert sich dem mit einer Pseudozufallsalgorithmusgenerierung, von der Masterknoten an jeder Konsensrunde teilnehmen (d. H. Wenn sie jeden Block signieren). Die Teilnehmer einer Konsensrunde sind eine pseudozufällig ausgewählte Gruppe von Masterknoten, die als Komitee bekannt ist. Jedes Komitee besteht aus 10 Masterknoten, die eine erhöhte Wahrscheinlichkeit haben, für jede Runde einem Komitee beizutreten (und anschließend einen Teil der Blockbelohnung zu erhalten), und zwar über einen Wett- und Reputationsmechanismus.

Erstens können sich Masternodes nur als aktiver Masternode für die Mitgliedschaft in einem Komitee qualifizieren, für den eine Einzahlung von 250.000 REMChain-Token auf ihr Reputationskonto erforderlich ist. Masterknoten haben auch ein Betriebskonto, von dem sie Token abziehen und Atom-Swaps mit ERC-20-Token durchführen können. 250.000 Token müssen jedoch im Reputationskonto verbleiben, damit der Knoten aktiv ist.

Für die Konfiguration eines Masterknotens ist die Einzahlung von 250 KB Token im Reputationskonto sowie die Generierung eines öffentlichen / privaten Schlüsselpaars erforderlich, wobei der öffentliche Schlüssel der Adresse für das Reputations- und das Betriebskonto entspricht.

Masterknoten, die mit einer höheren Anzahl von gesetzten Token konfiguriert sind, werden ab der Initialisierung des Masterknotens mit größerer Wahrscheinlichkeit einem Ausschuss ausgewählt. Der Hauptmechanismus für die Bestimmung der Auswahl des Pseudozufallsausschusses sind jedoch die Wetten und das Ansehen der Masterknoten.

Das Reputationskonto besteht aus der 250.000-Token-Einzahlung (vom Betriebskonto) und der Belohnung für Konsensoperationen innerhalb von REMChain. Das Betriebskonto besteht aus der Möglichkeit, Token zwischen Konten auf REMChain zu übertragen, Token vom Reputationskonto abzuheben, über Atom-Swaps mit ERC-20-Token auszutauschen, Wetten abzuschließen und Netzwerkgebühren zu zahlen.

Nach der Verbreitung und Validierung jedes Blocks wird ein neues Komitee gebildet. Der Ausschussauswahlalgorithmus enthält die folgenden Informationen:

  • Der Hash-Code des letzten Blocks.
  • Liste aller Masterknoten.
  • Reputation im Reputationskonto jedes Masterknotens.

Für jede Konsensrunde sendet jeder Masterknoten im Ausschuss eine Wette zusammen mit seiner eigenen Variante des bevorstehenden Blocks von Stapeltransaktionen (einschließlich der Anforderungen zum Speichern digitaler Zertifikate / öffentlicher Schlüssel) zur Genehmigung an den Rest des Ausschusses. Jeder Block enthält den öffentlichen Schlüssel einer Anfrage und die Wette.

Das Komitee bestimmt die Blockbestätigung, die den vorgeschlagenen Blöcken entspricht, und der vorgeschlagene Masternode des ausgewählten Blocks wird entsprechend belohnt. Das Komitee wird dann nach der Konsensrunde der Blockbestätigung geändert und der Prozess beginnt von vorne.

Die Belohnung für den Masterknoten, dessen Block vom Ausschuss ausgewählt wurde, enthält Zahlungen von Kunden für die Verwaltung ihrer öffentlichen Schlüssel für digitale Zertifikate, Wetten der anderen Masterknoten im Ausschuss, Transaktionsgebühren und obligatorische Netzwerkgebühren von den anderen Ausschussknoten.

Masterknoten, die die Belohnungen auf ihrem Reputationskonto belassen, können sie nicht direkt abheben, sondern können Token auf dem Konto sammeln, was die Wahrscheinlichkeit erhöht, dass sie in einer positiven Rückkopplungsschleife erneut für das Komitee ausgewählt werden. Andernfalls kann der Masterknoten die Token auf das Betriebskonto abheben und an eine andere Stelle übertragen.

Die Pseudozufalls-, Reputations- und Wettmethode innerhalb des Konsenses reduziert potenzielle Angriffe einer Entität, die mehrere Masterknoten besitzt, und verringert den Schaden, den eine Entität mit einer großen Anzahl von Token im Netzwerk haben kann.

Die Aufrechterhaltung einer dPKI-Infrastruktur über eine öffentliche Blockchain bietet viel größere Sicherheitsgarantien als ein zentraler CA-Aussteller / -Register.

Die primäre Leistungen eines dPKI umfassen:

  • Transparenz darüber, wem welches digitale Zertifikat zugewiesen wurde.
  • Sofort widerrufene Zertifikate.
  • Vom öffentlichen Hauptbuch protokollierte Zertifikatserweiterungen.
  • Ausgestellte Zertifikate können im öffentlichen Hauptbuch nachverfolgt und überprüft werden.

Wichtig ist, dass die Kosten für den Dienstanbieter (d. H. Ein Austausch) reduziert werden und Benutzer keine komplexen UI / UX-Ergänzungen erfahren. Stattdessen können sich Benutzer über eine Standardschnittstelle anmelden, über die das dPKI als Back-End-Sicherheitsschicht über dem 2FA fungiert, der bereits bei den meisten Börsen vorhanden ist.

Anwendungsfälle

Ein dPKI verfügt über mehrere Anwendungen, die mehreren Branchen außergewöhnliche Sicherheitsvorteile bieten können. Zwei der Hauptanwendungen, die REMME explizit identifiziert, sind:

  1. Kryptowährungsbörsen
  2. IoT-Geräte

REMME hat sich mit Changelly – dem beliebten Austauschdienst – zusammengetan, um das Authentifizierungsprotokoll über die dPKI-Infrastruktur zu sichern. Phishing-Angriffe sind an Kryptowährungsbörsen weit verbreitet, wobei Warnungen direkt von Börsen auf dem gesamten Markt konsequent hervorgehoben werden. REMME bietet auch eine umfangreiche Forschung Bericht Identifizieren von Trendschwachstellen in Exchange-Authentifizierungsprozessen.

Bedenken hinsichtlich der M2M-Authentifizierungssicherheit (IoT Machine-to-Machine) sind begründet. Instanzen von Autos hacken – vor allem mit der Verbreitung von IoT-verbundenen selbstfahrenden Autos – sind erschreckend real. REMME identifiziert eine der Hauptursachen des Problems, da die PKI-Infrastruktur für die M2M-Authentifizierung nicht ausreicht, um mehr als einfache Kennwortanmeldemodelle zu unterstützen. Eine Zukunft der automatisierten Identifizierung für Carsharing und Mikrozahlungen für ein IoT-Ökosystem erfordert schließlich eine robuste dPKI-Infrastruktur, um sicher zu funktionieren.

Fazit

Viele der Hauptvorteile von Blockchains liegen in ihrer verteilten, transparenten und dauerhaften Natur. Zentralisierte Modelle der Sicherheitsauthentifizierung über die Ausstellung und Überprüfung digitaler Zertifikate sind anfällig für eine neue Generation von Angriffen. REMChain verwendet anstelle der traditionellen Zertifizierungsstelle eine öffentliche Blockchain, um das Vertrauen in eine breitere dPKI-Infrastruktur zu minimieren, die eine Schicht robuster und transparenter Sicherheit bieten soll.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me