Saklama cüzdanları için güvenli ikinci faktörlü kimlik doğrulama


Transform 2022’ye katılamadınız mı? İsteğe bağlı kitaplığımızdaki tüm zirve oturumlarına şimdi göz atın! Buraya bak.


Kurumsal saklama genellikle, genellikle birkaç kullanıcıya ait olan önemli miktarda kripto para biriminin yönetimini içerir. Yönetilen toplam değer genellikle milyarlarcadır. Kripto para anahtarları, son derece güvenli olan donanım güvenlik modülleri (HSM’ler) içinde yönetilebilirken, bir API anahtarı kullanarak HSM ile etkileşime giren uygulama genellikle çok daha az güvenli bir ortamdadır.

Gizli Sıfır Sorunu

Bu uygulama hatalı davranırsa veya güvenliği ihlal edilirse ve API anahtarı çalınırsa, bir emanetçi ağır kayıplar görebilir. Bu, ünlü Gizli Sıfır Probleminin bir örneğidir; sırların çoğu güvenli ortamlarda korunabilirken, daha az güvenli kabul edilebilecek bir ortamda kalan en az bir sır vardır.

Şekil 1: Gizli Sıfır Probleminin bir çizimi.

Saklama cüzdanı hizmet sağlayıcılarının bu sorunu ele almalarının tipik yolu, ikinci faktörlü bir kimlik doğrulama sistemi sağlamaktır. Bir kullanıcı bir kripto para transferi başlattığında, kullanıcıdan telefonlarına yüklenmiş bir kimlik doğrulama uygulaması tarafından oluşturulan bir pin numarası veya zamana dayalı bir kerelik şifre (TOTP) girmesi istenir. Google Authenticator ve Duo, yaygın olarak kullanılan kimlik doğrulama uygulamalarıdır.

Bu yazıda, bu yaklaşımın gerçekten daha güvenli olup olmadığını ve bu yaklaşımın Gizli Sıfır Problemini çözüp çözmediğini sorguluyorum.

2FA, güvenli olmayan ortamlarda yardımcı olmaz

Gerçekte, ikinci faktörlü kimlik doğrulama sistemleri genellikle güvenli olmayan ortamlarda devreye alınır. Yani, genellikle HSM API anahtarlarını yöneten arka uç uygulamasıyla aynı ortamda dağıtılırlar. Bu güvenli olmayan ortam, bir saldırgan veya içeriden kötü niyetli biri tarafından ihlal edilirse, HSM tarafından yönetilen kripto para birimi anahtarları, işlemleri imzalamak için kullanılabilir ve bu, saklama cüzdanı sağlayıcısı ve müşterileri için ağır kayıplara yol açabilir.

Şekil 2: İkinci faktör kimlik doğrulama sistemleri genellikle güvenli olmayan ortamlarda devreye alınır.

İkinci faktör kimlik doğrulama sistemleri tehlikeye girdiğinde, bu tür olaylar manşet olur. Örneğin, iyi bilinen bir borsanın ikinci faktörlü kimlik doğrulama sistemi yakın zamanda tehlikeye atıldı ve 400’den fazla kullanıcı kripto para birimlerinde 30 milyon ila 40 milyon dolar arasında bir yerde kaybetti. Borsa kaybı kendi hesabına aldı ve kullanıcıları tazmin etti. Ancak bu tür olaylar, en yüksek güvenlik standartlarını korumayı amaçlayan işletmelerin itibarına zarar verir.

Sorun, ikinci faktör kimlik doğrulamasında değil; 2FA önemlidir. Sorun, ikinci faktör kimlik doğrulama sistemlerinin nasıl uygulandığı ve dağıtıldığıdır. İkinci faktörlü bir kimlik doğrulama sistemi, gizli sıfırı kontrol eden arka uç uygulamasıyla aynı güvensiz ortamda dağıtılırsa, bir bütün olarak sistemin güvenliğinde niteliksel bir gelişme olmaz.

2FA için daha iyi bir yol

Ya daha iyisini yapabilseydik? İkinci faktörlü kimlik doğrulama sistemini güvenli olmayan bir ortama yerleştirmek yerine güvenli HSM ortamına yerleştirsek ne olur? Bu yaklaşımın ayakları vardır, özellikle de dağıtılan kod “dondurulabiliyorsa”; yani, sahte bir yönetici, ikinci faktörlü kimlik doğrulama kodunu değiştirememelidir.

Şekil 3: TOTP’nin nasıl çalıştığına dair bir örnek

Daha önce de belirtildiği gibi, TOTP, ikinci faktörlü bir kimlik doğrulama sistemi için popüler bir seçimdir. TOTP, tek seferlik bir parola (OTP) üreten ve o anki zamanı benzersizlik kaynağı olarak kullanan bir algoritmadır.

Kullanıcı kayıt zamanında, kimlik doğrulama sistemi bir jeton üretir ve bunu kullanıcıyla paylaşır. Bu belirteç genellikle kullanıcının kimlik doğrulama uygulamasıyla taradığı bir QR kodu olarak sunulur. TOTP algoritması, çoğu bilgisayar sisteminin birbiriyle kabaca zaman senkronize olduğu gerçeğine dayanır.

Kimlik doğrulama uygulaması, paylaşılan jetonu ve geçerli saati girdi olarak alır ve her 30 saniyede bir yeni bir TOTP oluşturur. Kimlik doğrulama, kimlik doğrulayıcı tarafından korunan bazı işlevlere erişmek istediğinde, TOTP değerini hesaplar ve doğrulayıcıya sağlar. Kimlik doğrulayıcı ayrıca TOTP değerini hesaplar ve ardından kimlik doğrulama tarafından sağlanan TOTP değerinin yerel olarak oluşturulan TOTP değeriyle eşleşip eşleşmediğini kontrol eder. Değerler eşleşirse, kimliği doğrulanan kişiye korunan işlevselliğe erişim izni verilir.

Saklama cüzdanlarının güvenliği, güvenli TOTP, güvenli anahtar yönetimi ve güvenli işlem imzalama uygulayan HSM sınırı içinde kod dağıtılarak önemli ölçüde iyileştirilebilir. HSM, saklama cüzdanının arka uç sisteminin güvenliği ihlal edilmiş olsa bile bir işlemi imzalamayacaktır. İşlemler yalnızca kullanıcının katılımıyla imzalanabilir.

Şekil 4: 2FA ile işlem imzalama.

İşlem imzalama sırasında, kullanıcı TOTP’yi sağlar ve eklenti, işlemin yalnızca TOTP doğrulandıktan sonra imzalanmasını sağlar.

Şekil 5: DSM SaaS eklentisi olarak dağıtılan 2FA hizmetiyle yeni mimari.

Yeni mimari şekil 5’te gösterilmektedir. Şekil 2’ye kıyasla, ikinci faktör kimlik doğrulama hizmeti HSM’nin güvenli ortamı içinde konuşlandırılır. Vesayet cüzdanı arka ucunun güvenliği ihlal edilmiş olsa bile, kullanıcı döngünün bir parçası olmadan kripto para birimi işlemleri imzalanamaz.

Sonuç olarak, Gizli Sıfır Problemi zor bir problemdir. Doğada taşıyıcı olan blok zinciri tabanlı varlıklarla uğraşırken en kötü avatarında ortaya çıkıyor. Bu tür varlıklar bir kez devredildikten sonra, insan müdahalesi ile geri alınamazlar.

Kaputun altında, günümüzün ikinci faktörlü kimlik doğrulama sistemleri göründükleri kadar güvenli değil. Güvenliği ihlal edilmiş bir 2FA sistemi genellikle itibar kaybına yol açar; Bu kaybın önlenmesi sektörde kritik öneme sahiptir. Bu soruna güçlü, pratik bir çözüm gerekiyor. Bir kullanıcı döngüde olmadığı sürece kripto para birimi işlemlerinin asla gerçekleşmemesini zorunlu kılan bir çözüm öneriyorum.

Pralhad Deshpande, Ph.D., şirketinde kıdemli bir çözüm mimarıdır. fortanix.

DataDecisionMakers

VentureBeat topluluğuna hoş geldiniz!

DataDecisionMakers, veri işi yapan teknik kişiler de dahil olmak üzere uzmanların verilerle ilgili içgörüleri ve yenilikleri paylaşabileceği yerdir.

En yeni fikirleri ve güncel bilgileri, en iyi uygulamaları ve veri ve veri teknolojisinin geleceğini okumak istiyorsanız DataDecisionMakers’da bize katılın.

Kendi makalenize katkıda bulunmayı bile düşünebilirsiniz!

DataDecisionMakers’dan Daha Fazlasını Okuyun


Kaynak : https://venturebeat.com/2022/08/06/secure-second-factor-authentication-for-custodial-wallets/

Yorum yapın