EMCSSL-EmerCoin暗号通貨のNVSサブシステムと分散型クライアントSSL証明書に基づくWWWユーザー認証システム

ネコの下で、無制限の数の独立したネットワークサーバーに対するパスワードなしの承認のためのスケーラブルなインフラストラクチャが詳細に説明されています。



インフラストラクチャは、暗号通貨ブロックチェーンに基づいており、後者をクライアントSSL証明書のハッシュ和の分散型の信頼できるリポジトリとして使用します。 証明書自体は、外部の承認サービスに参加することなく、クライアントによってローカルで生成でき、必要に応じて迅速に置き換えることができます。これにより、侵害された証明書のスケジュールされた置き換えと迅速な取り消しの両方が効果的になります。



InfoCardシステムも提案されています。情報を階層構造で整理する機能を備えた分散型の分散「名刺」です。これは、企業メンバーや他の組織のカードの内容をすばやく更新するのに役立ちます。



提案されたサービスを共有すると、1回のクリックで迅速かつ文字通りアカウントを作成および更新でき、パスワードなしのログインと無制限のサーバーとの安全な接続が可能になります。



提案の目新しさは、システムの完全な分散化です。つまり、Kerberos、OpenID、TeddyIDなどの場合のように、単一の制御下にある特定のグループの認可サーバーが存在しないことです。 その結果、技術的な障害や認可サーバーへの悪意のある攻撃により、管理リソースを介してユーザーをブロックしたり、認可システム全体のサービスを拒否したりすることができなくなります。

現状

現代のインターネットでは、サーバー上のクライアントを認証する主な方法はパスワードシステムです。 彼女の考えは、ユーザーが認証プロセス中にサイトに提示する秘密のパスワードを知っているということです。 このシステムは、外部のシンプルさとともに、多くの重大な欠点があります。

• 弱いパスワード。 通常、パスワードを発明する権利はユーザーに付与され、ユーザーは多くの場合、パスワードを見つけます。パスワードは、辞書または辞書のバリエーションに応じて簡単に選択できます。 詳細はこちらをご覧ください： www.volex-old.vlx9.ru/internet-news/3062
• 強力なパスワード。 弱いパスワードを回避するために、多くのサイトでは、特定の文字を必ず含む必要のある複雑なパスワードの作成を強制しています。 その結果、サイトは過度に「判読可能」であり、「mWxbq7LECJ7m4Gtu95L」パスワードでさえも脆弱であるようです。 また、パスワードの要件は標準化されていないため、パスワードは別の理由で拒否される可能性があります。たとえば、上記のパスワードは、長さが16文字を超えているため、特定のサイトによって拒否されました。
• パスワード管理の複雑さ。 パスワード要件に関する単一の標準がないため、ユニバーサルパスワードジェネレーターを作成することはできません。その結果はすべてのサイトに適しています。 その結果、人々は他のすべてのパスワードが保存されるパスワードで保護されたリポジトリのような「パスワードキーパー」を発明します。 さらに、多くのサイトでは定期的にパスワードを変更する必要があり、そのため、そのようなパスワードは単に記憶されておらず、忘れないようにどこかに書き留められています。 言うまでもなく、クリアテキストでパスワードを書くことは、パスワードを侵害する直接的な方法ですか？
• 各サイトに固有のパスワードが必要です。 サイトにログインするときに（つまり、秘密を明らかにするために）パスワードを提示する必要があるため、サイトの正常な動作の場合でも、ネットワークを介した送信中にパスワードを傍受したり、比較的頻繁に発生するサイトのハッキングの結果として盗まれたりする可能性があります。 異なるサイトに同じパスワードを使用する場合、そのようなパスワードの漏洩は悲惨な結果につながります-侵害されたパスワードの疑いがある場合、所有者は彼がかつてこのパスワードを使用した場所を必死に覚えなければならず、緊急かつ緊急にバイパスしますすべてのサイトでパスワードを変更します（時間があれば）。
• 忘れた、または紛失したパスワードを回復します。 きっと誰もがこれに出くわし、「私はラクダではない」ことを証明する手順を経ました。 また、場合によっては、手順が終了するまで完了できないため、アカウントを削除する必要があります。

既存の代替

現在、さまざまなサプライヤーから多くのソリューションがあります。 そのため、企業部門では、RSAトークンは非常に人気があります-数分ごとにワンタイムパスワードを生成する特別なデバイスです。 そして、これらのパスワードは、それぞれの会社のウェブサイトで入力する必要があります。



ブラウザ用のクライアントSSL証明書もあります。 この場合、ユーザーは信頼できる承認センターによって署名された証明書を購入します。これには、証明書を更新する場合と、侵害が発生した場合の失効および置換の両方の費用がかかります。 多大な価格、認証機関への一定の依存、およびエンドユーザー向けのこの認証センターの参加による証明書の生成の困難さにより、この認証メカニズムは大量使用には事実上適用できません。その結果、このメカニズムは企業ネットワークでの限定的な流通を受け、実際には一般には知られていませんが、驚くほど効果的です。



また、承認のために、同じWebサイトによって発行され、それによってのみ認識されるWebサイトの証明書を使用する場合のオプションもあります。 これはクライアントには無料ですが、証明書ベースの関連性を維持するための継続的な作業につながります。 52サイト（インターネットユーザーにとって非常に現実的な数）にアカウントがあり、1年間標準証明書を使用している場合、週に1回、特定の証明書を更新する必要があることは容易にわかります。



繰り返しますが、外部の信頼できるエージェントの参加による認証手順は非常に複雑で標準化されていないため、すべてのエージェントとの相互作用の特徴を調査する必要が生じます。

したがって、保護の技術的完全性にもかかわらず、後者のオプションは実際的な配布を受けておらず、将来受ける可能性は低いです。



NXT暗号通貨「認証トークン」 -nxtcoin.wikia.com/wiki/Nxt_Softwareからのソリューションに言及する価値もあります。 その本質は、各ペア（サイト、ユーザー名）に対して一意の認証トークンが生成され、クライアントがサーバーへのログイン時に提示し、NXTブロックチェーンを通じて受信したトークンをチェックするという事実にあります。 残念ながら、認証中にトークンが完全に転送されるため、このメカニズムはセキュリティを提供しません。これにより、フィッシングサイトまたは同様のものによるMain-In-the-Middle攻撃によってトークンをインターセプトし、その後インターセプターによるトークンの悪意のある無制限の使用が可能になります。

SSLの現在の使用方法

現在、最も一般的なネットワーク接続セキュリティメカニズムはSSL-Secure Socket Layerです。 最も広く使用されているサーバー証明書のシステム、つまり、サーバーがクライアントに対して、不正な複製サーバーではなく、自分であることを証明するメカニズム。 サーバーの信頼性を証明することに加えて、SSLはクライアントとサーバー間の暗号化された接続を確立します。 仕組みは次のとおりです。







安全なSSL接続を確立する典型的な例：

1. サーバーは、公開暗号化キーを含むSSL証明書をユーザーに送信します
2. ユーザーは証明書の署名を検証し、サーバー証明書が信頼できる信頼できるエージェントによって発行されたことを確認します。
3. ユーザーがサーバーから公開鍵で暗号化された乱数を転送します
4. この番号がサーバーで正常に復号化されると、安全なSSLセッションが確立されます。

ただし、攻撃者がシステムまたはブラウザに「偽の」ルート証明書を導入することにより、ユーザーのブラウザの「信頼できるエージェント」のリストに自分自身を追加した場合、この接続保護メカニズムが明らかになる可能性があります。 このような攻撃は、たとえば、管理者が「信頼できるエージェント」のリストに証明書を埋め込み、https接続で「中間者」攻撃を組織化できる企業ネットワークで行われます。 次の例は、この攻撃を示しています。







SSL接続の問題。 たとえば、企業部門などで、ユーザーデバイスに偽のX.509ルート証明書を実装できる場合（トラフィックの追跡、制御の目的で）、「中間者」攻撃の可能性

1. サーバーは公開SSLキーをユーザーに転送します
2. 攻撃者は証明書を傍受し、自分の証明書に置き換えます。
3. ユーザーはスプーフィングされた証明書をチェックしますが、攻撃者は既に信頼できるエージェントのリストに追加されており、攻撃者は彼を信頼しているため、チェックは成功します。
4. ユーザーは、偽の証明書を使用して乱数を暗号化し、それを架空のサーバーに送信します。実際には、中間者である中間者に送信します。
5. 攻撃者はユーザーの番号を正常に解読し、ユーザーへの安全な接続を確立します。 同時に、攻撃者は実サーバー証明書を使用してサーバーへの別の安全な接続を確立します。
6. 攻撃者の制御下で侵害されたSSL接続を起動する

クライアントがサーバーに対する信頼性も証明するクライアントSSL証明書は現在ほとんど使用されておらず、クライアントを認証するためにパスワードメカニズムが使用されています。

emcsslの概要

当社の認証システムはクライアントSSL証明書に基づいており、クライアント認証とサーバーとの暗号化された安全な通信チャネルの作成の両方を提供します。 他のSSLシステムとは異なり、当社のシステムには信頼できる認証局がなく、後者の役割はEmerCoin分散型暗号通貨ブロックチェーンによって実行されます。 したがって、制限や人とのやり取りのないクライアントSSL証明書は、クライアント側で完全かつ迅速に生成され、必要な回数だけ更新されます。



単一のクライアントSSL証明書は、セキュリティを損なうことなく、システムに含まれる任意のサーバーでの承認に再利用できることに注意してください。 したがって、ユーザー（ユーザー）が通常のインターネット生活を送るには1つの証明書で十分です。これにより、膨大な数のアカウントグループのサポートが大幅に簡素化され、数十から数百のパスワードを管理できなくなります。 同時に複数の証明書を所有する唯一の異国的な理由は、セキュリティとは関係ありません（最高の状態です）が、複数の「マスク」、つまり異なるアカウントオプションが必要になる可能性があります。

さらに、サーバーはブロックチェーン上でクライアントから実際の証明書を受け取ったか、偽造された証明書を受け取ったかをチェックするため、emcsslは上記のタイプの攻撃を許可しません（以下を参照）。



これらの違いにより、認可システムの大衆への実際的な適用可能性を述べることができます。





ブロックチェーンを使用した「中間者攻撃」の可能性の排除（emsslアプリケーション）：

1. ユーザーがSSL証明書をサーバーに送信します
2. サーバーは、NVS分散ストレージに保存されている証明書に署名することにより、受信した証明書の信頼性を検証します。
3. 証明書が同一（スプーフィングなし）の場合にのみ、安全なSSLセッションが確立されます。

これはユーザーにとってどのように見えますか？

1. プログラムを実行し、個人用SSL証明書をローカルで生成（または更新）します。
2. EmerCoin NVSで証明書のデジタル署名を公開（または更新）します。
3. 証明書をブラウザにアップロードします。
4. 項目1〜3は一度完了する必要があります。 その後、証明書の存続期間中（システムではデフォルトで5年ですが、変更可能）、次の操作のみを行います。
5. 魔法！ このシステムをサポートするサイトにアクセスし、ユーザー名とパスワードなしでアカウントにログインします。 すべてが自動的に行われます！ 「永遠のログイン」を持っているようです。
6. そして、このサイトのアカウントが以前に存在しなかった場合-「証明書に基づいて新しいアカウントを作成する」のようなボタンをクリックするだけで、アカウントが自動的に作成されます！ さらに、サーバー上のユーザープロファイルには、証明書の生成時に指定したデータが自動的に入力されます。 あなたはそれらを提供することはできません、これはあなたの権利です。 しかし、ワンクリックでプロフィール全体にすぐに記入できると非常に便利です。

実際の仕組み

ユーザーemcssl証明書を生成するには、OSのpool.emercoin.com/emcsslからツールキットをダウンロードし、ディレクトリに解凍する必要があります。 インストールは不要です。 ツールキットは、Unixライクなオペレーティングシステム用の3つの* .shスクリプトで構成されています。 Windowsバージョンには、win-bashおよびopensslユーティリティのセット、および対応する* .shスクリプトを実行する* .batファイルもあります。 このサイトには、emcsslおよびInfoCard証明書の内容を印刷するテストページへのリンクも含まれています。



段階的に証明書を生成および使用するプロセスを検討してください。

1. テンプレートの生成。
   
   最初に、最初のプログラムgen_tpl.shを使用して証明書テンプレートを生成します。 プログラムは、将来の証明書の属性を順番に尋ねます。
   
   
   • CommonNameはユーザー名です。 これは必須パラメーターです。 そのため、スペースで区切られた正式名、ユーザー名、または姓名のみを使用できます。
   • メール-あなたのメールアドレス。 これはオプションのパラメーターであり、スキップできます。 ただし、指定されている場合、サーバーはこれを使用して、対応するアカウントフィールドに入力できます。
   • UID-オプションのパラメーター。 これは、証明書所有者が自分自身について提供したい追加情報へのリンクです。 そのため、EmerCoin情報カード（NVS情報サービスのプレフィックス）へのリンクを使用することになっています。 EmerCoin情報カードは暗号化された形式でブロックチェーンに保存され、情報リンクには復号化キーが含まれています。 したがって、情報へのアクセスは誰にも利用できませんが、リンクを含む対応する証明書を使用するサイトのみが利用できます。
   
   
   このプログラムの結果として、証明書テンプレートが作成されます-入力した属性を含み、将来の証明書のシリアル番号とサフィックス* .tplを表すランダムな名前を持つファイル、例えば84aa5f2c6527eb33.tpl 。
   
   さらに、このテンプレートに基づいて、同じパラメーターを使用してさまざまな証明書を生成できます。 これにより、証明書の有効期限が切れたとき、または証明書が侵害された疑いがある場合に、証明書を簡単かつ便利に更新できます。
   
   必要に応じて、複数のテンプレートを生成し、そこから複数の証明書を作成し、必要に応じて後者を更新できます。
   
   
2. 証明書の生成。
   
   次は、証明書の実際の生成（または更新）です。 これを行うには、プログラムgen_crt.shを実行し、テンプレートファイルをパラメーターとして渡します。 呼び出し例：
   
   ./gen_crt.sh 84aa5f2c6527eb33.tpl
   
   プログラムは、実際の証明書（* .crtファイル）と、証明書とそれに関連付けられた秘密鍵の両方を含むブラウザーへのダウンロードパッケージ（* .p12）を生成します。 パッケージを生成するプロセスで、プログラムはパスワードの入力を求めます。 このパスワードは、パッケージのダウンロードプロセス中にブラウザによって要求されます（セクション4を参照）。 パスワードは、* .p12ファイルの内容を、このファイルのその後の不正使用から保護します。 その結果、ファイル自体が盗まれた場合でも、攻撃者はパスワードを知らなくてもファイルを使用できません。
   
   
   
   パッケージの生成に使用された秘密キーは、パッケージとは別に使用できなくなるため、すぐに削除されます。 作業の最後に、2つのファイル（* .crt、* .p12）の作成に加えて、プログラムは次のような重要なメッセージを出力します。
   
   
   
   ファイル84aa5f2c6527eb33.p12の新しい証明書
   
   EmerCoin NVSペアに入金してください：
   
   キー： ssl：84aa5f2c6527eb33
   
   値： sha256 = 52cfd176a00756646fc73b6eecdf53c4d51cd077cc9b4ea49dd9bf660337fb52
   
   
   
   最初の行は、新しく生成された* .p12ファイルの名前を報告します。 手順4でブラウザにダウンロードします。次に-EmerCoin NVSサブシステムにダウンロードするために、「key-> value」のペア（太字で強調表示）が印刷されます。 重要：「キー->値」のペアは1回だけ印刷され、どこにも保存されません。 「画面から」使用する必要があります。 それでも失われることが判明した場合-大丈夫、同じテンプレートから新しい証明書を生成するだけで、新しいペアができます。
   
   
   
   将来的には、新たに生成されたファイルから、* .p12ファイルのみが使用されます。 証明書自体のファイル* .crt-は参照用にのみ残されています。 テキストエディタで表示して、証明書の構造と属性を確認できます。 必要に応じて、* .crtファイルを削除できます。
   
   
3. EmerCoin NVSでペアをダウンロードします。
   
   EmerCoinウォレットGUIまたはemercoindコマンドラインのname_newコマンド（証明書を置き換える場合-name_update）を使用して、上記のペアをNVSにロードします。 いくつかのブロック確認を待ちます（通常は1回の確認で十分です）-これは約5〜15分です。 確認が表示されたらすぐにおめでとうございます！ 分散emcsslシステムに証明書が正常に登録されました。最後の手順に進むことができます。 そのようなキーが既に登録されているという事実のためにNVSがペアを受け入れない場合、衝突の非常にまれなイベント（その確率は宝くじで100万を獲得するよりも低い）で-手順1から3を再度繰り返し、異なるシリアル番号の証明書を生成します。
   
   
4. * .p12パッケージをブラウザにダウンロードして使用します。
   
   これで、証明書をEmerCoin NVSに正常に登録した後、ブラウザーに* .p12ファイルをダウンロードして、emcsslシステムを最大限に活用できます。 パッケージのダウンロードは、通常のクライアントSSL証明書のダウンロードと同じであり、ブラウザの適切な設定メニューから実行します。 特定のブラウザーのガイドの例：
   
   Firefox： www.onlinehowto.net/install-ssl-certificate-in-firefox/784
   
   Chrome： www.binarytides.com/client-side-ssl-certificates-firefox-chrome
   
   IE： ipswitchmsg.force.com/kb/articles/FAQ/Using-client-SSL-certificates-in-Internet-Explorer-1307739573570
   
   
   
   一般に、設定に移動して、[詳細]、[セキュリティ]、[証明書]などの項目を見つけ、[インポート]ボタンをクリックして* .p12ファイルを読み込む必要があります。 インポートプロセス中に、手順2でパッケージを保護したパスワードを入力する必要があります。 証明書をダウンロードした後、一部のブラウザー（Google Chromeなど）を再起動する必要があります。
   
   

そのため、作業は完了しました。現在、その報酬を受け取ることができます。つまり、パスワードがなくてもサイトに移動しても安全です。必要に応じて、証明書に基づいてアカウントを自動的に作成します。 これがどのように機能するかを詳しく見てみましょう。

1. 証明書を含むブラウザーからシステムメンバーサイトにアクセスすると、そのサイトではブラウザーがクライアント証明書を提示する必要があります。 クライアントが証明書を持っていない場合、またはクライアントが証明書の提示を拒否した場合、サーバーはその設定に応じて、パスワード認証スキームに切り替えるか、それ以上の作業を拒否します。 証明書があり、ブラウザがサーバーの要求に応じて証明書を提示する準備ができていると仮定します。 サイトへの最初の訪問で、ブラウザは「ここで彼らは証明書を要求します、彼らは店から適していますか、私たちはどれを見せますか？」 証明書を選択すると、ブラウザはそのような証明書を使用してこのサーバーにアクセスする必要があることを記憶し、この質問はこれ以上行いません。 ブラウザで自動選択モードを設定することもできますが、これはお勧めしません。
2. 証明書を受信すると、サーバーは最初に証明書の署名を検証します。 署名の検証に成功すると、EMCSSLシステム用に証明書が生成されたことが証明され、それ以上は証明されません。 証明書の従来のアプリケーションには矛盾があります。署名では、証明書の他のフィールドの値も確認されます。 この場合、署名は、このシステム用に証明書が生成されたことのみを証明し、それ以上は証明しません。 残りのチェックは後で行われます。
3. サーバーは乱数を生成し、提示された証明書にある公開鍵で暗号化し、ブラウザーに送信します。 これは、この接続（およびこれのみ）のワンタイムパスワードになります。
4. 完全な* .p12ファイルを持つブラウザは、そこから秘密鍵を抽出し、サーバーから送信されたパスワードを解読します。 その後、ブラウザはサーバーへの安全なhttps接続を確立します。 このような接続を確立するという事実は、ブラウザが提示された証明書だけでなく、対応する秘密鍵も所有していること、つまり、証明書ベアラーが完全な* .p12ファイルを所有していることを証明します。 このシステムでは、秘密鍵がコンピューターから離れることはありません。 ローカルで生成し、ブラウザでローカルで使用します。 したがって、たとえ悪意のあるサーバーによって証明書が盗まれたり、ネットワークを介した送信中に傍受されたりしても、攻撃者には相互の部分（秘密鍵）がないため、誰も証明書を使用できません。
5. サーバーは、クライアントが正しい秘密鍵を所有していることを確認し、EmerCoinブロックチェーンを通じて証明書情報をチェックします。 これを行うには、彼は証明書からシリアル番号を抽出し、EMC NVSでこのシリアル番号を検索し、[値]フィールドでダウンロードしたもの（証明書のチェックサム）を受信します。 その後、サーバーは受信した証明書のチェックサムを計算し、対応するシリアル番号を持つ提示された証明書が、NVSのカップルの登録に参加したものと同じであることを確認します。 言い換えると、サーバーは、証明書に番号Nが含まれるクライアントが、番号がNVSに登録された時点から以前に同じ番号が付いていたクライアントと同じであることを確認します。 したがって、証明書の一意のシリアル番号が検証され、ユーザーを認証するために使用できます。 実際、攻撃者があなたと同じシリアル番号を持つ別の証明書を生成した場合、彼はすでにあなたによって取得されているため、NVSにチェックサムをアップロードできません。 また、別のシリアル番号で証明書を生成すると、これは別のIDになり、サーバーは別のアカウントを作成します。

これらすべてのチェック（実際には一瞬で行われます）の後、サーバーは着信クライアントが次のことを確認します。

• 何かだけではなく、システムの証明書を持っています。
• 秘密鍵を所有します。
• 適切な証明書シリアル番号を所有しています。

アカウントにアクセスできます。



このシステムでは、証明書のシリアル番号（ユーザーID）のみが検証されることに注意してください。 後続の証明書を生成する場合、* .tplファイルを編集し、CN /電子メール/ UIDフィールドの他の値を追加してから、新しい証明書を生成し、ブラウザーで置き換えて、NVSの対応するエントリのチェックサムを適宜変更できます。 その後、古い証明書はステップ5の検証に合格しなくなるため、役に立たなくなります。



後者は、証明書の危殆化のごくわずかな疑いで、または単にあなたの要求で-証明書の迅速な失効および置換の幅広い可能性を開きます。 同じテンプレートから新しい証明書をいつでもすばやく生成し、NVSに値を再ロードできます。 これはすべて、外部の証明機関との対話、失効リストへの追加などを必要としません。



サーバーは、証明書からCN（ユーザー名）および電子メールフィールドを抽出し、作成時にプロファイルフィールドの最小値をすぐに入力できます。 さらに、証明書のUIDフィールドに値が含まれている場合があります（存在しない場合があります）。 この値は、情報カードへのリンクです-あなた自身について提供したい追加情報。 情報もNVSに保存されますが、暗号化されており、全員が利用できるわけではありません。 UIDフィールドには、情報カードの復号化キーも含まれます。 したがって、情報カードに含まれる情報へのアクセスは、適切な証明書を提示したサーバーによってのみ取得できます。



infocardとemcsslの機能を組み合わせることで、クリックするだけで詳細かつ完全なアカウントを作成できるようになります。新しいパスワードを入力したり、自分に関する情報を入力したり、メールを確認したりする必要はありません。 クリック-これで完了です！

また、EmerCoinの高度な機能により、NVSから名前に支払いを送信する興味深い可能性があります。 したがって、安全な支払いを受け取ることが可能になります。 このメカニズムを使用するサーバーは、証明書所有者にのみ支払いを送信し、他のユーザーには送信しないように保証されています。 したがって、アカウントがハッキングされた場合でも、そのアドレスを置き換えて、ウォレット以外の場所で資金を引き出すことはできません。 この機能を使用すると、取引所とプールのセキュリティが向上すると考えられます。

FAQよくある質問とその回答。

— *.p12 ? ?

— , !



— , ?

— , EmerCoin NVS. . , , .



— ?

— , . , ( Firefox) , ( *.p12) . – . PKCS#11 (http://en.wikipedia.org/wiki/PKCS_11), , . , , .



— -, – , , ?

— . (, ) , – , «». , – — , . mcssl , . , , .



— EmerCoin? ?

— . , EmerCoin NVS. . , (Namecoin, NXT) — , , .



— - ? ?

— , ! , , EmerCoin: pool.emercoin.com



— EmerCoin NVS ?

— EmerCoin wallet c sourceforge.net/projects/emercoin/files , - , .



— ?

— , ¼ EMC . 1EMC = 0.02USD, 5 ( ) , .



— ?

— NVS « ». , .



— EMCs?

— - , pool.emercoin.com , folding@home: emerfor.org/folding_home/about_en.php

, www.livecoin.net

, :

forum.bits.media/index.php?/topic/3408-emc-emercoin-pos

bitcointalk.org/index.php?topic=362513.0

team@emercoin.com



— EMCs, ? ?

— . , , .



— . ?

— 6-10 , . update value «», . , , . 1-5 NVS. , . , NVS- , . – , - . , , .

InfoCard

InfoCardは、ユーザーまたは組織が自分自身に関する個人データまたは企業データを自発的に開示できるデータ形式です。その目的は、構造が名刺（紙、または電子* .vcf）、またはLDAPディレクトリ内のユーザーの記録をやや連想させることです。



InfoCardは、EmerCoin NVSサブシステムを使用する別個の製品であり、一般的に言えば、それは自給自足です。ただし、UIDフィールドに情報カード（UID）へのリンクが含まれるemcssl証明書と一緒に使用すると、実際の値が得られます。同時に、証明書を取得するサーバーはユーザーの情報カードを取得し、情報カードの情報を使用してサイトのユーザープロフィールに入力するか、情報カードに指定されたアドレスへの暗号通貨での支払いなど、情報カードに含まれる情報に基づいて情報に連絡することができます。



ここでは、OpenIDシステムとの類似性が見られます。ユーザーは、Facebookなどの有名な他のサイトでプロファイルを使用することをサイトに許可できます。ただし、OpenIDとは異なり、情報カードシステムは分散型であり、サーバーのパフォーマンスとその動作に依存しません。たとえば、あなたの理由でFacebookがアカウントを削除またはブロックしたという架空の状況を想定し、FacebookのOpenIDを使用して以前にアクセスした多数のフォーラムに投稿する機会がなくなったとします。



さらに、レコード（カード）に人（または位置）に関するすべての情報が含まれるOpenID、LDAP、vCardの追加情報用のストレージシステムとは異なり、情報カードレコードを使用すると、システム内の他のレコードから一部の情報をインポートできます。組織の従業員やその他の階層構造に便利です。



たとえば、情報カードシステムには、会社の名前、住所、電話番号、およびその他の属性を含む組織の記録（明確にするために-会社）が含まれる場合があります。また、従業員情報カードのレコードには、この一般情報を従業員の名刺にインポートするためのディレクティブが含まれています。次に、たとえば、会社の電話番号が変更された場合、オフィスが別の住所に移動した場合、または会社が別の住所に合併して名前を変更した場合、これらの変更はすべて、会社に関する唯一の情報カードレコードで行われ、その後、他の従業員のカードがこの情報をインポートします自動的に更新され、関連情報が含まれます。今度は、名刺が何回渡されたかを覚えておいてください。名刺には電話番号が手で消され、別の番号が入力されます。それだけです！



情報カードレコードへのリンクは次のとおりです。

info：infocard_key：infocard_password

• info – NVS
• infocard_key – NVS
• infocard_password –

上記のように、情報カードサブシステムのすべてのレコードは暗号化された形式で保存され、ブロックチェーンの直接分析では抽出できません。ただし、パスワードを含むリンクの受信者は、このエントリを簡単に取得できます。

情報カードのエントリの構造は単純であり、通常のテキストエディタでファイルを編集できます。



情報カードの例を詳しく見てみましょう（実際の情報カードには行番号はありません）：



1 Alias superabdul＃短い名前（ユーザー名、ログイン）

2 FirstName Abdul＃名（短い）名

3 LastName AbstulZadomBey＃氏名の残りの部分

4 HomeAddress

5 Sinan Pasa Mah。 Hayrettin Iskelesi＃フリーフォームアドレス

6 Sok。いいえ\＃1＃自由形式の住所

7 Besiktas、Besiktas＃自由形式の住所

8イスタンブール＃市

9 34353＃郵便番号

10トルコ＃国

11自宅電話+ 90-555-123-4567

12勤務電話+ 90-555-123-4568

13携帯電話+ 90-555-123-4569

14性別M

15生年月日05/27。 ＃91月、27 1991

16メールabdul@bubbleinflators.com

17、WEB bubbleinflators.com/superabdul

18のFacebook Abdul.AbstulZadomBey

19ツイッターAbdulAbstulZadomBey

20 EMC EdvJ7b7zPL6gj5f8VNfX6zmVcftb35sKX2＃emerCoin支払いアドレス

21 BTC 1MkKuU78bikC2ACLspofQZnNb6Vz9AP1Np＃ビットコインの支払いアドレス



各エントリはでセットを（表し数学的意味）ペア：

キー（1つ以上のスペース）値

値 -スペースを含めることができます。



例：

エイリアスsuperabdul＃短縮名（ユーザー名、ログイン）



カードの処理後、キーはこのキーの一般リストにリストされたいくつかの値を持つことができます。目的のキーに値を追加するには、スペースで始まる行に値を入力する必要があります。つまり、独自のキーはありません。例は、4〜10行目のHomeAddressです。

「＃」文字と右側の文字はコメントであり、カードの読み取り時に削除されます。値文字列内に「＃」文字を入力する必要がある場合は、例の6行目で行ったように、エスケープ文字「\」をその前に置く必要があります。

インポートコマンドを使用して、次のような別の情報カードの内容をインポートできます。



インポート情報：2f2c5a7c57d60668：74744c6e4443df490eab0807052bb9



複数のインポートを想定します。つまり、複数の情報カードをインポートできます。

情報カードを入力すると、行は上から下に順番に処理され、結果セットの内容が順番に変更されることに注意してください。したがって、命令のシーケンスを



考えてみましょう：HomePhone + 90-555-123-4567

HomePhone + 90-555-123-0000 HomePhone



の単一の値を作成します-+ 90-555-123-0000。以前の値は上書きされます。



インポートしたカードの値と独自のカードの値を正しく結合できるようにするために、キーの修飾子が導入されています。これらは、キーの前後の「+」記号です。プラスキーの前は、「この値をリストの末尾に追加する」、キーの後-「この値をリストの先頭に追加する」ことを意味します。修飾子なし-この値のリストを削除し、現在のリストがある場合は入力します。以下の例は、これらのオプションを示しています。



HomePhone + 90-555-123-4567

+ HomePhone + 90-555-123-0000

結果：HomePhone-> [+ 90-555-123-4567] [+ 90-555-123-0000]



HomePhone + 90-555- 123-4567

HomePhone + + 90-555-123-0000

結果：HomePhone-> [+ 90-555-123-0000] [+ 90-555-123-4567]



HomePhone + 90-555-123-4567

HomePhone

結果：HomePhone -> []（空のリスト）



このメカニズムにより、インポートされた値を独自の値と柔軟に組み合わせることができます。

システムに対する悪用と攻撃を防ぐために、1つの回答を生成する際のインポートの合計数は20を超えることはできません。考えられる階層構造にはこれで十分であると考えています。依存関係のリング構造も当然禁止されています。この場合、循環リンクを介したインポートは実行されません。

まとめ

上記を要約すると、ここで提案されている証明書インフラストラクチャは、特定の製品やシステムに共通の機能を備えていると言えます。したがって、もちろん、その中心部分はユーザーSSL証明書であり、元の設計ではあまり有用ではありませんが、提案されたものでは非常に便利で便利になります。



クライアントがKerberosサーバーから「認証トークン」を受信し、サービストークンサーバーがKerberosにこのクライアントをどうするかを決定するように要求する、Kerberosで使用されるものと同様のセキュリティチェックメカニズムを指すこともできます。この場合、集中型サーバーの代わりに分散型EmerCoin NVSが使用され、NVSに正常に登録された証明書シリアル番号は一意のトークンとして機能します。サービスサーバーは、中央のKerberosサーバーに要求する代わりに、ローカルのEmerCoinウォレットへの要求により、NVSのローカルコピー内のクライアントを検証します。



提案されたInfoCardシステムは、OpenIDまたはLDAPとの共通点も多くありますが、後者とは異なり、分散型であり、アナログにはないインポートメカニズムを備えているため、大きなグループのカードの関連性を効果的に維持できます。

まあ、すべて一緒に-それは安全で便利なメカニズムを作成します。サイトでの承認と新しいアカウントのプロファイルの自動補完。

使用を開始する方法

すべてのソフトウェアは無料です。クライアント証明書を生成するためのパッケージは次のとおり

です。サーバーへのemcssl認証。