Что такое протокол SRP и как он работает

Аутентификация пользователей является важной частью любого онлайн-сервиса. Она гарантирует, что только пользователи с правильными учетными данными могут получить доступ к определенной системе или приложению. Без неё любой человек может получить доступ к ценной информации или ресурсам без разрешения. Надежная система входа авторизованных пользователей необходима для защиты данных и ресурсов организации от несанкционированного доступа.

В этой статье мы разберём, как устроен процесс аутентификации и зачем нужен протокол SRP.

Что такое аутентификация

Аутентификация — это процесс проверки личности пользователя или системы, чтобы убедиться, что они являются теми, за кого себя выдают. Аутентификация используется в самых разных областях, от банковских онлайн-сервисов и сайтов электронной коммерции до корпоративных сетей и государственных систем.

Аутентификация обычно включает в себя предоставление доказательств в виде паролей, пин-кодов, биометрических данных, таких как отпечатки пальцев или других форм. Бывает двухфакторная аутентификация, когда пользователи должны предоставить два доказательства, подтверждающие их личность, прежде чем им будет предоставлен доступ к системе или ресурсу. Целью такой проверки является защита конфиденциальной информации и данных от несанкционированного доступа.

Внедряя надежные меры аутентификации в протоколы безопасности, вы можете помочь защитить активы своей организации и одновременно обеспечить спокойствие пользователей.

Что такое SRP

SRP — это протокол парольной аутентификации. Он представляет собой криптографический протокол, используемый для аутентификации пользователей через Интернет. Он обеспечивает безопасную аутентификацию, используя шифр с открытым ключом. При этом проверка личности пользователя происходит без раскрытия его пароля любой другой стороне, включая сам сервер.

Какие проблемы решает SRP

SRP позволяет безопасно передать свой пароль, делая их практически неуязвимыми для перехвата и кражи злоумышленниками. Только пользователь знает свой реальный пароль, что решает сразу несколько проблем, связанных с обеспечением конфиденциальности и согласованного доступа.

  • Перебор пароля по словарю невозможен, благодаря чему пользователи могут устанавливать даже слабые пароли, не опасаясь их взлома.
  • Старые сессии и введённые ранее пароли защищены от дальнейшего разглашения. 
  • Возможность работы по незащищённому каналу, поскольку используется автоматическое шифрование информации, а значит, в дополнительной защите нет необходимости.
  • Даже если злоумышленники смогли получить базу данных сервера, они всё равно не смогут узнать настоящий пароль.
  • Дополнительные каналы связи для работы протокола не нужны.

Для дополнительной безопасности стоит заказать SSL-сертификат — уникальную цифровую подпись сайта для надежной защиты при передаче данных.

Принцип работы SRP

Работа протокола SRP основана на технологии PAKE. Это относительно новая форма аутентификации, которая позволяет двум сторонам безопасно обмениваться ключами через незащищенную сеть. Эта технология создает общий секретный ключ, а затем используется для аутентификации обеих сторон коммуникации, не раскрывая его ни одной из сторон.

Так обеспечивается дополнительный уровень безопасности за счет использования доказательств нулевого знания, то есть не требуя никакой дополнительной информации о пользователях. Это предотвращает возможность злоумышленников выдать себя за другого человека и получить доступ к конфиденциальным данным или учетным записям.

Упрощённо процесс работы SRP укладывается в 4 шага.

  1. Сначала обе стороны договариваются о простом числе и генерируют два случайных числа – открытый и закрытый ключ. 
  2. Сервер передаёт открытый ключ клиенту.
  3. Клиент генерирует собственное значение верификатора и направляет его на сервер. 
  4. Сервер вычисляет его значение верификатора, используя созданный ранее закрытый ключ.  Обе стороны сравнивают свои соответствующие верификаторы — если они совпадают, то аутентификация прошла успешно.

Кроме того, можно приобрести дополнительные услуги безопасности бизнеса в RU-CENTER , которые гарантируют защиту аккаунтов и авторизаций, в том числе через госуслуги и ЭЦП.

Какая идея лежит в основе SRP 

Идея SRP заключается в том, что никто и никогда не должен напрямую знать частную информацию другого человека, особенно пароли, которые открывают доступ к различным действиям от имени конкретного лица. Это касается и серверов, хранящих пароли в открытом или зашифрованном виде для последующего извлечения при попытке входа пользователя в систему. 

Вместо этого, используя такие криптографические техники, как доказательство нулевого знания, а также криптографию с открытым ключом, мы можем создавать надежные протоколы аутентификации, которые не требуют хранения где-либо конфиденциальной информации, обеспечивая при этом высокий уровень безопасности для предотвращения несанкционированного доступа.

Где применяется SRP

SRP используется во многих различных приложениях, таких как удаленные банковские услуги, онлайн-игры, облачные сервисы хранения данных и т. д.. То есть протокол актуален там, где требуется безопасная аутентификация пользователей по незащищенным сетям, но прямое знание паролей пользователей не должно быть раскрыто ни при каких обстоятельствах. Во многих компаниях SRP используется для защиты учетных записей сотрудников от утечки данных из-за слабых паролей или фишинговых атак.

Кроме того, SRP доступен для популярных приложений. Например, для EAP —платформы аутентификации в беспроводных сетях, или SAML — это язык разметки на базе XML.

Подведём итоги

SRP обеспечивает надежную защиту от атак методом перебора при аутентификации пользователей в незащищенной сети, поскольку злоумышленники не могут извлечь действительные пароли из перехваченного коммуникационного трафика. Даже если они каким-то образом получат действительные верификаторы от легитимных клиентов или серверов, они не узнают личные пароли и другую секретную информацию. 

Поскольку все больше организаций принимают этот стандарт для защиты своих сетей и ресурсов от злоумышленников, эта тенденция сохранится и в последующие годы.

Всё ещё остались вопросы?