ARPASS
→ 開啟 Arpass
ARPASS
→ 開啟 Arpass
「passkey」、「公鑰」、「AES」、「PWA」…… 安全領域充滿縮寫。本文以淺顯語言配上英文完整拼寫進行說明,並輔以日常比喻。
一對金鑰。公鑰可安全公開 — 就像誰都能用的掛鎖。私鑰是唯一能開啟該掛鎖的鑰匙,絕不外傳。藉此即可在不交換金鑰本身的情況下安全交換訊息。
一種無密碼登入方式。金鑰存放於手機、PC 或 YubiKey 這樣的安全金鑰中。驗證本人的方式取決於裝置 — 手機與 PC 使用指紋或臉部辨識,YubiKey 則使用「觸碰金屬接點」再加 PIN(如需要)(注意:一般 YubiKey 沒有指紋感應器)。無需記憶,且極難被釣魚。
讓 passkey 在瀏覽器中運作的標準。定義網站如何要求瀏覽器「以使用者的裝置或金鑰驗證身分」。FIDO2 是其下更廣泛的規範族。
從 YubiKey 中按需取出「同一個秘密值、但僅對應於該金鑰」的方法。Arpass 用它為每支已註冊的 YubiKey 推導獨立加密金鑰。
於密碼之上多加一道驗證 — 手機上的驗證碼、YubiKey 觸碰等。「門上加兩把鎖。」MFA 是更通用的術語,意為組合兩個或更多因素。
每 30 秒左右變化一次的臨時數字碼。即便被竊也會很快過期。常用於 2FA。
加密用金鑰把資料變成不可讀的形式。解密用金鑰將其還原。僅此而已。
當今最廣泛使用的加密方法。同一把金鑰既加密又解密(「對稱加密」)。「AES-256」表示金鑰長度為 256 位 — 非常強。
兩者都是公鑰加密方法。RSA 是長期沿用的經典(以三位發明者命名)。ECC 較新,在同等強度下金鑰更短,因此在手機與 YubiKey 上日漸普及。數學很複雜,不理解也能使用。
把資料轉換為定長的「指紋」字串。同一輸入永遠產生同一指紋,但無法從指紋反推原資料。用於偵測篡改與比較條目。
從一個底層秘密安全地產出用途專用金鑰的方法。不直接重複使用同一秘密的紀律。
未來超強算力的電腦理論上可破解目前的公鑰加密(RSA、ECC)。PQC 是為抵抗它們而設計的下一代加密。目前尚非現實威脅。
一個小型 USB / NFC 實體裝置,存放登入金鑰。YubiKey 是最知名的品牌。由於金鑰實體存在於你手中,安全性非常強。
使用方式是觸碰金屬接點,必要時輸入 PIN。一般 YubiKey(5 系列與 Security Key 系列)沒有指紋感應器。(Yubico 另有「YubiKey Bio」系列具備指紋,但屬於不同產品線。)
極短距離的無線通訊。「用手機觸碰 YubiKey」這種通訊。與感應式交通卡同屬一類技術。
手機或 PC 內部的獨立專用區域,提供額外保護以儲存金鑰。指紋/臉部資料與裝置金鑰都存放於此並不離開。(這是手機與 PC 內建的功能,與 YubiKey 不同。)
專門處理金鑰而絕不讓金鑰外洩的專用硬體。銀行與大型服務的伺服器端使用。
用於郵件與檔案加密、簽署的長期標準。基於原始的「PGP」(Pretty Good Privacy)。YubiKey 可存放這些金鑰。
原本面向美國政府員工的「智慧卡」式身分驗證標準。用於企業 PC 登入等。YubiKey 支援此標準。
讓網站表現得像應用程式的方法。「加到主畫面」會產生一個圖示,全螢幕啟動網站。無需經過應用程式商店。
在 Web 頁面背景執行的小程式。用於離線支援,也用於使網站符合 PWA 條件。
PWA 的小型「設定檔」。列出應用程式名稱、圖示與啟動方式。讓瀏覽器把網站視為應用程式。
把網站包裝在 Android「應用程式外殼」中以便上架到 Google Play 的方法。
於應用程式內使用 Apple / Google 的計費系統購買數位商品。商店會收取手續費。
告訴 Web 頁面「只能從以下地點載入指令碼與圖片」的安全設定。可阻止注入的惡意指令碼執行。
一種設計,營運方無法看到(也無法接觸)你的資料內容。加密完全在瀏覽器中進行,營運方只能看到加密後的位元組。Arpass 採用此設計。
「區塊鏈」是一種分散式且極難篡改或刪除的資料儲存方式。Arweave 是一種特定的區塊鏈儲存,寫入的內容會永久保留。Arpass 將你的加密資料儲存於此。
在 Arpass 中,實際加密你資料的主金鑰。MEK 本身再被你的密碼、YubiKey 與其他「因素」包裹(加密),因此從不裸露。
Arpass 的還原碼。在遺失所有裝置與金鑰時的最後救援手段。列印於紙上並安全保管。(YubiKey 專用模式不使用 Recovery Secret。)