ARPASS
→ Открыть Arpass
ARPASS
→ Открыть Arpass
«Passkey», «открытый ключ», «AES», «PWA»… мир безопасности полон аббревиатур. Вот они простыми словами, с написанными полными формами и бытовыми аналогиями, где они полезны.
Пара ключей. Открытый ключ безопасно делиться — как замок, которым может воспользоваться любой. Закрытый ключ — единственный, кто открывает этот замок, и его вы никогда не отдаёте. С этой парой можно безопасно обмениваться информацией, не отправляя сам ключ.
Способ беспарольного входа. Ключ хранится в вашем телефоне, ПК или в ключе безопасности, например YubiKey. Способ подтвердить, что это вы, зависит от устройства — телефоны и ПК используют отпечаток или распознавание лица, а YubiKey — «коснуться металлического контакта» плюс PIN, если потребуется (примечание: обычные YubiKey не имеют датчика отпечатков). Ничего запоминать не нужно, очень трудно фишингнуть.
Стандарты, благодаря которым passkey работают в браузерах. Определяют, как сайт просит браузер «подтвердить пользователя его устройством или ключом». FIDO2 — более широкое семейство спецификаций под этим.
Способ по запросу извлечь из YubiKey «один и тот же секретный, но уникальный именно для этого ключа значение». Arpass использует это, чтобы вывести отдельный ключ шифрования для каждой зарегистрированной YubiKey.
Запрос дополнительной проверки в дополнение к паролю — код на телефоне, касание YubiKey и т.д. «Два замка на двери.» MFA — более общий термин, означающий комбинацию двух или более факторов.
Одноразовый числовой код, меняющийся каждые ~30 секунд. Даже если украден, быстро истекает. Часто используется для 2FA.
Шифрование превращает данные в нечитаемые с помощью ключа. Расшифровка обращает это с помощью ключа. Вот и всё.
Самый распространённый метод шифрования сегодня. Один и тот же ключ и шифрует, и расшифровывает («симметричное шифрование»). «AES-256» означает ключ 256 бит — очень сильный.
Оба — методы шифрования с открытым ключом. RSA — давний классик (назван по трём изобретателям). ECC новее и использует более короткие ключи при той же стойкости, поэтому становится доминирующим на телефонах и YubiKey. Математика сложна, но её не нужно понимать, чтобы пользоваться.
Превращает данные в «отпечаток» фиксированной длины. Один и тот же вход всегда даёт один и тот же отпечаток, но обратно вход не восстановить. Используется для обнаружения изменений и сравнения элементов.
Способ безопасно производить ключи для конкретных целей из одного базового секрета. Дисциплина не использовать один и тот же секрет напрямую для всего.
Будущие сверхмощные компьютеры, теоретически способные сломать сегодняшнюю криптографию с открытым ключом (RSA, ECC). PQC — следующее поколение криптографии, разработанное для устойчивости к ним. Сегодня практической угрозы нет.
Небольшое физическое USB / NFC устройство, содержащее ключи входа. YubiKey — самый известный бренд. Поскольку ключ физически находится в вашей руке, он очень силён.
Используется касанием металлического контакта, плюс PIN при запросе. Обычные YubiKey (серии 5 и Security Key) не имеют датчика отпечатков. (Yubico также делает отдельную линию «YubiKey Bio» с отпечатком, но это другая линейка.)
Беспроводная связь очень короткого радиуса. Тип связи «коснитесь телефона YubiKey». Та же семья технологий, что и бесконтактные транспортные карты.
Изолированная выделенная зона внутри телефона или ПК, хранящая ключи с дополнительной защитой. Данные отпечатка/лица и ключи устройства живут здесь и не выходят. (Это встроено в телефоны и ПК — не то же самое, что YubiKey.)
Выделенное оборудование, обрабатывающее ключи, никогда не выпуская их. Используется на стороне сервера банками и крупными сервисами.
Давний стандарт шифрования и подписи писем и файлов. Основан на исходном «PGP» (Pretty Good Privacy). YubiKey может хранить эти ключи.
Стандарт проверки личности в стиле «смарт-карта», изначально для сотрудников правительства США. Используется среди прочего для корпоративного входа в ПК. YubiKey его поддерживает.
Способ заставить сайт вести себя как приложение. «Добавить на главный экран» создаёт значок, запускающий сайт на полный экран. Не проходит через магазин приложений.
Маленькая программа, работающая в фоне для веб-страницы. Используется для офлайн-поддержки и для квалификации сайта как PWA.
Маленький «файл конфигурации» для PWA. Перечисляет имя приложения, иконки и как оно должно запускаться. Позволяет браузеру обращаться с сайтом как с приложением.
Способ обернуть веб-сайт в «оболочку приложения» Android, чтобы он мог попасть в Google Play.
Покупка цифровых товаров внутри приложения через биллинг Apple / Google. Эти магазины берут комиссию.
Настройка безопасности, говорящая веб-странице «можно загружать скрипты и изображения только из этих мест». Помогает остановить выполнение внедрённых вредоносных скриптов.
Дизайн, при котором оператор сервиса не может видеть (и не может добраться до) содержимое ваших данных. Шифрование происходит полностью в вашем браузере; оператор видит только зашифрованные байты. Arpass использует этот дизайн.
«Блокчейн» — способ хранения данных распределённо и так, что их очень трудно изменить или удалить. Arweave — особый тип блокчейн-хранилища, где записанное остаётся записанным навсегда. Arpass хранит здесь ваши зашифрованные данные.
В Arpass — главный ключ, фактически шифрующий ваши данные. Сама MEK затем оборачивается (шифруется) вашим паролем, YubiKey и другими «факторами», так что она никогда не голая.
Код восстановления Arpass. Последний способ восстановиться, если вы потеряли все устройства и ключи. Напечатан на бумаге и хранится безопасно. (Режим только-YubiKey не использует Recovery Secret.)