ブロックチェーン技術への没入：グローバル公開鍵インフラストラクチャ

Emerテクノロジーに関する一連の記事を続けます。 この記事では、sshプロトコルemcSSHを使用してネットワークノードへの端末アクセスを制御するためのインフラストラクチャについて説明します。

一連の記事「ブロックチェーン技術への没入」

1. Emerテクノロジーに関する一連の資料：

1.1。 EmerCoinの秘密 。

1.2。 分散型の無修正ドメインネームシステム 。

1.3。 世界規模の公開鍵インフラストラクチャ 。

1.4。 分散パスワードレスセキュリティシステム 。

2. 高速で安全なトランザクション 。

3. デジタル歯科のエコシステム 。

4. 偽造品との戦い 。

5. 相互動物保険 。

6. ICOとは何か、そしてそれを行う方法 。

7.読み込み中...

はじめに

前の記事で説明したように、Emerネットワークの主なユーティリティ機能は、 Name-Value Storage （NVS）です。これは、あらゆる種類のレコード用の分散信頼ストレージです。



そして、何らかの種類のレコードをNVSに入れると、次のことを確認できます。

• このレコードはネットワークのすべてのノードに配布されます。つまり、各ノードはローカルブロックチェーンにそのコピーを持ちます。
• ブロックチェーン全体のように、特定の記録への信頼は、捕虜とPOS鉱夫の統合された努力によって生み出されます。

言い換えれば、ブロックチェーンに投稿されたレコードはすべてのネットワーク参加者が利用できることを確認でき、誰もがあなたが投稿したものと同じものを持ち、まったく同じものを持ちます。 ：「そして彼のバッグに何も入れないで、別の手紙を入れて」。



Emerの規模に制限がないことを考慮すると、Emer NVSサービスに基づいて、グローバル規模の効果的な公開鍵インフラストラクチャPKI（公開鍵インフラストラクチャ）を作成することが可能になります。



以下では、sshプロトコルemcSSHを使用してネットワークノードへのターミナルアクセスを制御するためのインフラストラクチャについて説明します。

emcSSHを使用しない場合の仕組み

ほとんどの場合、ssh（ログイン時にユーザーがサーバーに提示するパスワード）を介してネットワークサーバーにログインするために、従来の認証ソリューションが使用されます。 パスワード認証には、パスワードを取得またはトリックする機能などのいくつかの欠点があり、上級ユーザーは公開キー認証を使用します。これにより、サーバーはクライアントを識別します。



小規模なネットワークでは、公開キーが1つまたは別のサーバー上の静的ファイル（通常は$HOME/.ssh/authorized_keys



）に配置されている場合、最も簡単なソリューションを使用します。 ただし、ネットワークのサイズが大きくなると、さまざまなマシンでキーのリストの関連性を維持することは、管理者にとって頭痛の種になります。 たとえば、特定の人が解雇された場合、管理者は自分がアクセスしたすべてのコンピュータを調べて、各ファイルから対応するエントリを正しく削除する必要があります。 このアプローチは、5台のコンピューターのネットワークで正当化されますが、50のネットワークでは実際には適用できません。



多かれ少なかれ大規模なネットワーク（企業規模、企業レベル）では、特定の特権を持つユーザーアクセスキーとユーザーグループの両方の一元管理が使用されます。 通常、このようなシステムはPuppet、LDAP / Kerberosなどに基づいています。 このような一元化されたシステムは、さまざまなサーバーに散在するファイルのセットよりもすでに管理しやすいです。 それにもかかわらず、いくつかの欠点があります。

• PKIインフラストラクチャの展開、構成、および管理の必要性-中央キーサーバー、ドメインコントローラーサーバー、コントローラー上のデータベースとレプリケーションルールの作成、チャネルセキュリティシステムの更新、承認要求セキュリティシステム、および同様の多くの作業。
  
  
  
  
• このようなシステムの集中化により、管理者はほぼ無制限の権限を与えられます。つまり、管理者に「ゴッドモード」を与えます。そこでは、すべてのユーザー（およびそれらすべてのユーザー） 。 そして、重大な問題が発生します-警備員を守る方法は？
  
  
  
  
• 鍵管理センターを制御すると、ネットワーク全体の妥協または麻痺につながります。 言い換えれば、損失を犠牲にするコストは莫大です。
  
  
  
  
• ユーザーキーは管理者を通じて更新されます。 つまり、ユーザーは管理者に連絡してキーを変更し、自分を識別し、キーを渡す必要があります。ユーザーはすでに集中システムにキーを入力します。 このプロセスは、「エール、お嬢様、Smolnyをプレゼント」など、100年前の電話交換を連想させます。
  
  
  
  
• 企業レベルでのこのようなシステムの成長に対する制限。 技術的なものに加えて、国またはグローバルレベルでネットワークの数十万のドメインコントローラーに対するLDAPデータベースのサポートを想像するのが困難な場合、信頼制限の問題もあります-たとえば、エンタープライズセキュリティデータベースの管理者は、別の任意の企業の管理者がこのデータベースを変更することを許可しそうにありません。 これにより、すでに人々は、エンタープライズよりも高いレベルのPKIシステムを想像できないようになりました。 とはいえ、毎日私の目の前にあるのは、働く世界的なネットワーク、インターネットの例です！

emcSSHの仕組み

技術的には、世界的なemcSSH PKIシステムは非常にシンプルです。 単純さは、ほとんどすべての作業がEmer NVSによって行われるという事実によるものです。 emcsshプログラムは、Emerブロックチェーンとsshdサーバー間の単なる「橋」であり、ブロックチェーンからの対応するNVSレコードを解釈し、sshdのアカウントの公開キーのリストを生成します。 仕様によれば、NVSレコードは名前（検索キー）と値（キーに関連付けられたデータ）で構成されます。



emcsshサービスのNVS（名前、値）エントリには、名前“ssh:”



がプレフィックスとして付けられ、次の正式な規則に従います。

 username, groupname, ssh_public_key ::= VisibleString name_key ::= <username> | <groupname> token ::= <ssh_public_key> | ”@”<name_key> Name ::= ”ssh:”<name_key> Value ::= <token> | <token>“|”<Value>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

エントリは、手動、ウォレットGUI、またはJSON RPC APIコマンドのいずれかでNVSに作成されます。



emcsshのレコードの作成例を、手順ごとに検討してください。



1.エンドユーザーは、次の形式のレコードの公開キーをEmer NVSに配置します。

 Name=ssh:username Value=ssh_public_key
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

例：

 "name" : "ssh:emergator", "value" : "ssh-rsa AAAAB3…”.
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

名前はEmerネットワーク内で一意であるため、公開キーの所有者を一意に識別します。



2.リソースアクセスグループの管理者は、ユーザーusername



へのリンクのリスト、つまり次の形式のエントリを作成することにより、特定のユーザーグループのACL（アクセス制御リスト、アクセス制御リスト）を作成できusername



。

 Name=ssh:groupname Value=@usename1|@username2|...|@usernameN
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

例：

 "name" : "ssh:EmercoinTeam", "value" : "@EvgenijM86|@Garrett|@emergator|@denis|@sv",
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

3.グループ管理者は、ユーザーへのリンクだけでなく、他のグループへのリンクもACLに含めることができます。例：

 Name=ssh:super_group Value=@usename1|@username2|@EmercoinGroup
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

参照によるグループには、他のグループへのリンクを含めることもできるため、グループとユーザーの階層が作成されます。 さらに、グループとユーザーに関するレコードの所有者は、異なる組織で働く非常に異なる人々である可能性があることに注意する必要があります。 つまり、それぞれが自分の責任範囲でレコードを管理し、ブロックチェーンはレコード間のリンクを介して階層を作成します。



レコードが作成されたので、emcsshプログラムが働き始めます。 次のユーザーにログインしようとすると、sshdサーバーはemcsshプログラムを起動し、 username



をパラメーターとして渡します。 このusername



のプログラムは、対応するユーザーの構成からブロックチェーンからname_key(s)



へのリンクを抽出し、ブロックチェーンへのリクエストのチェーンを通じて再帰的にこれらのキーを「アンパック」し、このアカウントのsshキーのリストを生成し、sshdプログラムに渡します。 そして、それは今度は教区民を許可するか拒否します。



sshキーのリストを作成するとき、プログラムはすでに処理されたname_key



リストをキャッシュし、2回目の会議では以前に処理されたキーを処理しません。 これにより、システムが無限再帰（間接を含む）から保護され、特定のグループが他のグループを参照し、それらが3番目のグループを参照するときに「ダイヤモンド型の継承」を正しく有効にできます。 この場合、3番目のグループは1回処理され、菱形の2番目のブランチを処理するときには無視されます。



たとえば、特定のアカウントのサーバー構成にリンク「@EmercoinTeam」が含まれている場合、emcsshプログラムは対応するグループ「@ EvgenijM86 | @Garrett | @emergator | @denis | @sv」をブロックチェーンから抽出し、そこからすぐにグループから個々の公開キーへの各リンクを許可し、5つの公開キーのリストを形成します。

emcSSHの利点

どうやら-公開キー自体の代わりに、サーバーにリンクを保存するだけで、キー自体がブロックチェーンから抽出されると、大きな違いがありますか？ しかし、実際には違いがあり、それは巨大です。 また、 username



とキーの間の接続はusername



の所有者によって制御され、 username



と対応するキーはログインが発生するサーバーの責任者によって制御されるという事実から生じます。 また、たとえば、キーを置き換える必要がある場合、 username



側のusername



所有者は新しいキー（ ssh_public_key



）を生成し、それをNVSに公開します。 その後、更新されたレコードはネットワークのすべてのノードに複製され、その信頼性は暗号通貨の一般的なコンセンサスによって確認されます。 サーバー管理者は、ホストによって更新されるキーを気にしなくなりました。 さらに、このキーの更新は、管理者や人間のオペレーターの参加なしに、 username



がアクセスできるすべてのサーバーで自動的に行われます。 電話ネットワークとの類推に戻ると、人間のオペレーター「エール、スモーリィを与える」の代わりに、自動ダイヤルシステムが使用され始めたと言えます。



groupname



によって管理されるACLについても同様の考慮事項がありgroupname



。 たとえば、あなたの会社がEmercoinTeamのある種のアカウントへのアクセスを許可することを決定した場合、会社の管理者は自宅のグ​​ループへのリンクを単に規定します。 そして、グループのコンテンツを管理するのは会社の管理者ではなく、Emercoinの管理者です。 そして、Emercoinで人事異動が発生した場合、これはあなたの会社の管理者の仕事ではなく、このグループの関連性を維持するEmercoinの管理者の仕事です。



現代のビジネスでは、IT、会計、電話、監査などを外部委託する傾向が拡大していることを考慮すると、emcSHは企業間相互作用を保証する効果的な手段になりつつあります。 アウトソーシング会社は、階層を含むグループを管理します。 ユーザーがキーを管理します。 そして、顧客企業は関連するグループへのアクセスを許可し、その管理者はアウトソーシング業者で何が起こっているのかという悩みを抱えていません。



上記の権限の分離（責任のローカリゼーション）を使用すると、特権を集中化し、すべてに責任を持つスーパー管理者の役割を導入することなく、大規模なグループ作業を編成できます。



emcSSHの主な利点を簡単にリストします。

• 権限のローカライズ、および結果としてのセキュリティの強化。
• 管理の容易さ;
• 管理者なしでのキーとグループの自動更新。
• 使いやすさ;
• インフラストラクチャとその管理の価格を下げる。
• 分散した参加者間にエンドツーエンドの信頼を作成する機能。

便利なリンク

1.すべてのソフトウェア（Emerとemcsshの両方）は、GNU / BSDライセンスの下で配布されるオープンソースのフリーウェアです。 ソースはGitHubで入手でき、そこからダウンロード、分析、コンパイルできます。



2.キーとグループの管理は、 QTウォレットGUIを介して最も便利に行われます。



3.サーバーの場合、パッケージマネージャーによってインストールされるLinuxのメジャーバージョン用のプリコンパイル済みアセンブリがあります。 また、事前にインストールされたemcSSHおよびその他のサービスを備えたEmerノードをMicrosoft Azureにデプロイすることもできます 。



4. FreeBSDおよび他のOSでは、ソースからのビルドも問題ではなく、数分かかります。



5.配布、マンページ、およびアセンブリガイドは、 emcSSHページで入手できます。



6.写真付きのステップバイステップのロシア語指導 。



7. Emer NVSでの録音は有料であり、一定量のEmerCoinsが必要です。これは、レコードを作成するときに「書き込み」されます。 価格は低く、現在のレートで10年間の記録で約0.05ドルですが、まだどこかでコインを取る必要があります。 それらは、 リストから任意の暗号通貨取引所で購入できます（例えば、 Livecoin） 。



8.開発者とメールでチャットできます。



emcSSHネットワークを安全に操作するために、記録の有効期限が切れないようにしてください。 記録を長期間（1000年とはいえ）確保し、必要に応じて延長します。

実務経験

ほぼ2年間、emcSSHシステムはEmerCoin開発チームが分散クラウドインフラストラクチャとVPSを管理するために使用され、要件と期待を満たすことを証明しました。



HashCoinは1年以上にわたり、このシステムを使用してマイナーアレイと分散データセンターを管理しています。 システムの運用経験に関するCTO企業インタビューはこちら 。

拡張機能

ssh_public_keyとしてのemcSSHシステムは、ssh公開キーだけでなく、任意のテキスト文字列を「コンシューマーに配信」できます。 これにより、emcSSHを使用して、sshに関連付けられていない他のサービスの分散ACLを作成できる可能性が広がります。



たとえば、HashCoinはemcSSHを使用して、emcSSLサービスを通じてサイトのアクセスリストを管理することを提案しました 。



emcSSLとこのアプリケーションの詳細については、次の記事で説明します。

著者について

Oleg Hovaikoは、暗号およびコンピューターセキュリティの分野の専門家であるEmerCoin暗号通貨の主要な開発者です。 1994年以来、彼はIT分野で働いています。 現在、彼はアメリカの投資銀行の副社長でもあり、証券-ジェフリーズ＆カンパニーのオペレーションを行っています。 これは、米国最大の独立銀行の1つと考えられています。