Zum Hauptinhalt springen

🍺 Entwickler

Das Vaultys-Protokoll ist eine Reihe verschiedener kryptografischer Datenmodelle, die den Lebenszyklus der dezentralen digitalen Identität behandeln. Das Sicherheitsmodell geht nicht um Privatsphäre (d.h. Widerstandsfähigkeit gegen Entschlüsselung), sondern um die Sicherung der Identifikation (Personen, Server), wodurch es kryptografisch schwierig wird, eine Identität zu stehlen, ohne einen kryptografischen privaten Schlüssel zu stehlen. Im Vergleich zu klassischen Authentifizierungssystemen (Benutzer/Passwort/MFA) bietet das Protokoll einen besseren Widerstand gegen die Kompromittierung des Kommunikationskanals oder das Raten von Passwörtern auf der Grundlage zuvor durchgesickerter Daten in einem zentralen Identifikationsserver. Darüber hinaus ist das Protokoll mit Erweiterungen im Sinn konzipiert. Nur eine Teilmenge der Protokollerweiterungen wird zertifiziert.

Kurz gesagt, hier sind die Sicherheitsansprüche des Protokolls:

  • Die Kompromittierung eines zentralen Identifikationsservers gefährdet nicht die Identitäten (nur öffentliche Schlüssel werden gespeichert)
  • Die P2P-ID-Registrierung ist gegen passive Kanalangriffe resistent
  • Die P2P-Authentifizierung ist gegen passive und aktive Kanalangriffe resistent.

Verwendete kryptografische Kurven sind:

  • Ed25519 für die Softwareimplementierung
  • P256 bei Verwendung einer FIDO2-Brücke

Widerstand bedeutet:

  • Entweder scheitern im Falle eines aktiven Kanalangriffs
  • Oder Erfolg mit der Gewissheit, dass beide legitimen Seiten die Authentifizierungsnachricht effektiv überprüft und signiert haben

Die Sicherheit späterer Kommunikationen nach der Authentifizierung (wie das Stehlen von Sitzungscookies durch Wiederholungsangriffe) fällt nicht in den Geltungsbereich des Modells.

Definitionen

Smartphones der Benutzer: Jeder Benutzer hat ein Smartphone, auf dem die Smartlink-App installiert ist. Diese App generiert und verwaltet die dezentrale ID des Benutzers (VaultysID). Erzeugung der VaultysID: Die VaultysID wird sicher auf dem Smartphone des Benutzers mit kryptografischen Algorithmen erstellt. Diese ID dient als dezentraler Bezeichner für den Benutzer. Authentifizierungsprotokoll: Wenn ein Benutzer eine Verbindung zum Smartlink-Dienst herstellen möchte, initiiert die App eine Authentifizierungsanfrage. Der Smartlink-Server sendet eine Authentifizierungsaufforderung an die App, die eine eindeutige Authentifizierungsnachricht enthält. Benutzerauthentifizierung: Die Smartlink-App signiert sicher die Authentifizierungsnachricht mit der VaultysID des Benutzers und sendet sie zurück an den Smartlink-Server. App-Verifizierung: Die App des Benutzers überprüft die Echtheit der Nachricht des Smartlink-Servers mithilfe des öffentlichen Schlüssels des Servers. Authentifizierte Verbindung: Sobald beide Seiten erfolgreich die Identitäten des anderen überprüft haben, wird eine authentifizierte Verbindung zwischen der App des Benutzers und dem Smartlink-Server hergestellt. Dezentrale Sicherheit: Die dezentrale Natur des VaultysID-Systems gewährleistet, dass Benutzeridentitäten sicher auf ihren Smartphones verwaltet werden, ohne sich auf eine zentrale Autorität zu verlassen. Dies verbessert die Sicherheit und Privatsphäre sowohl für Benutzer als auch für den Smartlink-Dienst.