Itt a jogkivonatkötés ideje
Üdv mindenkinek!
Az elmúlt néhány hónap NAGYON izgalmas időszak volt az identitással és biztonsággal kapcsolatos szabványok világában. Az iparág számos szakértője erőfeszítésének köszönhetően jelentős haladást értünk el az új és továbbfejlesztett szabványok széles körének véglegesítésében, amelyek javítják a felhőszolgáltatások és felhőbeli eszközök generációjának biztonságát és felhasználói élményét.
A fejlesztések közül az egyik legfontosabb a Token Binding (jogkivonatkötés) nevű specifikációcsalád, amely az Internet Engineering Task Force (IETF) szervezet végleges jóváhagyására vár. (Ha többet meg szeretne tudni a jogkivonatkötésről, nézze meg Brian Campbell nagyszerű előadását.)
A Microsoftnál hiszünk abban, hogy a Token Binding jelentősen javítja a nagyvállalati és felhasználói esetek biztonságát azáltal, hogy magas szintű azonosítási és hitelesítési megbízhatóságot tesz széles körben és egyszerűen hozzáférhetővé a fejlesztők számára szerte a világon.
Meg vagyunk győződve ennek pozitív hatásáról, és továbbra is elkötelezetten dolgozunk együtt a közösséggel a Token Binding (jogkivonatkötés) specifikációcsalád létrehozásán és bevezetésén.
Most, hogy a specifikációk a jóváhagyás fázisába értek, szeretnék két felhívást közzétenni:
- Kezdjen el a jogkivonatkötéssel kísérletezni és a telepítéseit megtervezni.
- Lépjen kapcsolatba a böngészője és a szoftvere gyártójával, és kérje meg őket, hogy azonnal juttassák el Önhöz a jogkivonatkötés implementációit, ha még nem tették meg.
Örömmel jelentem, hogy a Microsoft a számos iparági hangadó egyike, akik szerint a jogkivonatkötés egy fontos megoldás, és éppen most jött el az ideje.
A jogkivonatkötés fontosságának ismertetéséhez átadom a szót Pamela Dingle-nek – az iparág egyik vezető személyiségének, akit már bizonyára sokan ismernek, és aki most a Microsoft identitáskezelési szabványokkal foglalkozó igazgatója az Azure AD csapatban.
Üdvözlettel:
Alex Simons (Twitter: @Alex_A_Simons)
Programkezelési igazgató
Microsoft Identity részleg
—————————————————————————————————————————–
Köszönöm, Alex, és üdvözlök mindenkit!
Osztom Alex izgatottságát! Évek erőfeszítésének eredményeként jöttek létre a specifikációk, amelyeket rövidesen az új RFC szabványok formájában üdvözölhetünk. Éppen alkalmas az idő a szoftvertervezők számára, hogy feltárják a Token Binding által képviselt adott identitási és biztonsági előnyöket.
Megkérdezheti, hogy miért ilyen nagyszerű a jogkivonatkötés? A jogkivonatkötés cookie-kat hoz létre, az OAuth hozzáfér a jogkivonatokhoz és frissíti azokat, és az OpenID Connect ID Tokenek (azonosító-jogkivonatok) használhatatlanok az ügyfélspecifikus TLS-környezeten kívül, amelyben kibocsátották. Az ilyen jogkivonatok általában „tulajdonosi” jogkivonatok, ami azt jelenti, hogy bárki is a tulajdonosa a jogkivonatnak, erőforrásokra cserélheti a jogkivonatot, a jogkivonatkötés azonban a megerősítő mechanizmusban rétegezéssel javítja ezt a mintát a jogkivonat-kibocsátás időpontjában gyűjtött kriptográfiai anyagok teszteléséhez a jogkivonat használatakor gyűjtött kriptográfiai anyagokkal szemben. Csak a megfelelő ügyfél, a megfelelő TLS-csatornát használva megy át a teszten. Ez az eljárás, amely során az entitásnak saját maga igazolásához be kell mutatnia a jogkivonatot, a „birtokjog bizonyítása”.
Kiderült, hogy a cookie-k és a jogkivonatok mindenféle kártékony módon használhatók az eredeti TLS-környezeten kívül. Ezek közé tartozhatnak az eltérítéses munkameneti cookie-k vagy kiszivárgott hozzáférési jogkivonatok, illetve kifinomult közbeékelődéses támadások (MiTM). Ez az, amiért az IETF OAuth 2 Security Best Current Practice draft (IETF OAuth 2 aktuális legjobb biztonsági eljárások tervezete) ajánlja a jogkivonatkötést, és amiért megdupláztuk az Identity Bounty Program (identitásazonosítással, hitelesítéssel kapcsolatos hibakeresési program) díjait. A birtokjog bizonyításának megkövetelésével oly módon alakítjuk át a cookie-k vagy jogkivonatok opportunista vagy előre megfontolt használatát a tervezettől eltérő módon, hogy megnehezítse vagy költségessé tegye a támadóknak a kísérletet.
A birtokjog bizonyításának más mechanizmusához hasonlóan a jogkivonatkötés is képessé tesz bennünket arra, hogy mélyre ható védelmet építsünk ki. Keményen dolgozunk, hogy soha ne veszítsünk el jogkivonatot, ugyanakkor azt is megerősíthetjük, hogy biztonságban legyünk. A birtokjog bizonyításának más mechanizmusaitól eltérően (amilyen például az ügyféltanúsítvány), a jogkivonatkötés is önálló és átlátható a felhasználónak, és a munka nehezét az infrastruktúra végzi. Reméljük, hogy ez végül azt jelenti, hogy mindenki magas szintű identitásbiztonsággal működhet, de kezdetben várhatóan jelentős igény merül fel a kormányzati szervek és pénzügyi szervezetek részéről, mivel esetükben azonnali szabályozási követelmények állnak fenn a birtokjog bizonyításának elvégzésére. Példaként megemlíthetjük, hogy az NIST 800-63C AAL3 besorolást igénylőknek szükségük van erre a típusú technológiára.
A jogkivonatkötés hosszú utat járt be. Három éve dolgozunk rajta, és miközben a specifikációk jóváhagyása egy izgalmas mérföldkő, ökoszisztémaként még sok tennivalónk van, és a specifikáció sikeréhez különféle gyártók és platformok esetében is működnie kell. Izgatottan várjuk az elkövetkezendő hónapokat, hogy elindítsuk a biztonsági előnyök és ajánlott eljárások megosztását, amelyek elkötelezettségünk eredményeként jöttek létre, és reméljük, hogy velünk együtt örömmel használja majd ezt a technológiát, amikor csak szüksége lesz rá.
Üdvözlettel:
– Pam