Передача UKeyЦе розширений захищений комунікаційний компонент, вбудований у клієнт UKey Wallet, який спеціально використовується для міграції програмного гаманця закритий ключ і конфіденційних даних між різними фізичними пристроями. Цей документ має на меті розробити механізм багаторівневого криптографічного захисту та безпечний протокол зв’язку, що лежить в основі цього компонента.
Опис сфери дії функції:Поточна версія компонента UKey Transfer відкрита лише для міграції даних у програмних гаманцях. Оскільки апаратний гаманець передбачає складну взаємодію між основною мікросхемою фізичної безпеки (SE) та ізольованим середовищем виконання, відповідні апаратні протоколи сумісності даних знаходяться на стадії розробки та оцінки та будуть розгорнуті в майбутніх оновленнях прошивка і клієнта.
1. Основні принципи безпеки та архітектурна основа
Архітектура безпеки UKey Transfer базується на таких трьох основних технічних принципах:
Повністю відкритий вихідний код і прозорий аудит:UKey дотримується принципу децентралізованого відкритого коду. Базовий вихідний код нашого клієнтського додатка та сервера ретрансляції оприлюднено в офіційному репозиторії та підлягає перевірці коду глобальною спільнотою безпеки мережі та розробниками, а заяви про безпеку підтверджуються математичними та криптографічними фактами.
Система наскрізного шифрування (E2EE): усі дані закритий ключ, які потрібно перенести, зашифровані та інкапсульовані на найвищому рівні в локальній пам’яті пристрою-відправника, і їх можна розшифрувати та відновити лише локально на призначеному пристрої-одержувачі. У всьому каналі передачі даних будь-який сторонній вузол, включаючи офіційний сервер UKey, не може розшифрувати або шпигувати за простим текстом даних.
Сервер ретрансляції з нульовим знанням (Zero-Knowledge):UKey Офіційний сервер діє лише як основний мережевий засіб для «ретрансляції сигналів» і «маршрутизації трафіку» під час процесу міграції. Сервер абсолютно не в змозі зв’язатися, отримати доступ або дізнатися будь-який ключовий матеріал або вміст бізнес-даних.
2. Механізм отримання ключа гібридної криптографії
Щоб протистояти цілеспрямованим атакам за екстремальних умов, UKey Transfer використовує неоднорідні дані з кількох джерел для спільного отримання остаточного ключа шифрування (функція отримання ключа, KDF). Щоб розшифрувати дані, зловмисник повинен скомпрометувати кілька фізичних і кібервимірів захисту одночасно.
1. Обмін динамічним ключем еліптичної кривої (ECDHE)
Технічні принципи: на початку міграції даних session пристрої на обох кінцях напряму погоджуються створити тимчасовий, одноразовий спільний ключ session за допомогою алгоритму ECDHE.
оборонна перевага: Має передову безпеку (Forward Secrecy). Цей ключ генерується повністю локально і ніколи не передається у вигляді відкритого тексту через мережу, що робить його невідомим серверу ретрансляції. Навіть якщо екран зловмисно записаний і код сполучення витік, дані в каналі передачі неможливо перехопити та розшифрувати.
2. Асиметрична ідентифікація та маршрутизація коду сполучення
Довгий код сполучення, згенерований системою, логічно розділений на дві частини:
ID маршруту (перші 10 символів): надсилається лише на сервер ретрансляції як загальнодоступний ідентифікатор з’єднання, який використовується для визначення місцезнаходження двох цільових пристроїв у мережі, які потребують рукостискання.
Ключовий матеріал високої ентропії (останні 40 символів): Як основна високоентропійна «сіль» локального виведення ключів,Абсолютно нінадсилати в будь-яку зовнішню мережу або сервер.
3. Змішане впровадження ключів із кількома джерелами
Симетричний ключ, який у кінцевому рахунку використовується для шифрування даних закритий ключ, генерується наступними факторами:
Джерело ентропії локального середовища: поточні облікові дані пристрою користувача схвалення на екрані блокування, локальне псевдовипадкове число, незалежно згенероване цим session, глобальний унікальний ідентифікатор (UUID) екземпляра програми та вбудований базовий ключ програми.
Хмарне спільне джерело ентропії: Незалежний ідентифікатор session і випадкове число на стороні сервера, тимчасово видане сервером ретрансляції для цього з’єднання.
3. Активний захист і протокол перевірки особи
Окрім статичного криптографічного шифрування, система розгортає суворі механізми активного захисту та процеси ручної перевірки на рівні взаємодії.
1. Контроль ризиків на стороні сервера та запобігання грубому злому
Обмеження швидкості запиту: запровадити суворе обмеження частоти для запитів на сигналізацію одного пристрою на рівні мережі (обмежено одним запитом кожні 3 секунди), принципово блокуючи високочастотне сканування та лавинні атаки.
Автоматичний вимикач (закінчення Session): Верхня межа помилок перевірки з’єднання для коду сполучення жорстко встановлена на 10 разів. Після досягнення порогового значення система негайно та назавжди зробить недійсним session і пов’язані ключові ресурси.
2. Локальна схвалення і двостороння фізична перевірка
Автентифікація екрана блокування терміналу: під час запуску процесу експорту або отримання приватного ключа система змушує викликати біометричний пароль на системному рівні (Face ID/Touch ID) або пароль блокування екрана пристрою. Запобігайте фізичному захопленню пристрою іншими та крадіжці активів, якщо це не Заблоковано.
Лінія захисту 6-бітного хеш-дайджесту: Після успішного з’єднання пристрою, але до початку передачі даних, на екранах відправника та одержувача одночасно відображатиметься 6-значне число код підтвердження, згенероване параметрами зв’язку.Перед передачею схвалення користувачі повинні візуально перевірити, чи числа на обох кінцях повністю узгоджуються.Ця конструкція є остаточною фізичною лінією захисту від атак «людина посередині» (MITM).
3. Анулювання облікових даних і попереджувальне переривання
єдина дійсність: Усі коди сполучення є одноразовими маркерами та будуть знищені одразу після успішної перевірки або завершення session.
Усунення випередження незаконного підключення: якщо зловмисник перехоплює код сполучення та намагається заздалегідь встановити хибне з’єднання, коли пристрій законного користувача (відправник) ініціює запит на справжнє з’єднання, базова логіка системи безпосередньо примусово перерве та виведе попередній незаконний стан з’єднання, гарантуючи, що контроль повністю належить законному фізичному терміналу.
4. Розширений захист і параметри приватного розгортання
Завдяки гнучкості архітектури з відкритим вихідним кодом, UKey дозволяє користувачам з надзвичайними вимогами до конфіденційності використовувати вдосконалені рішення ізоляції даних:
Розгортання приватного сервера ретрансляції: Користувачі можуть розгорнути сервер передачі UKey у власній керованій приватній хмарі або локальному сервері, витягнувши офіційний код сервера з відкритим кодом. і налаштуйте його в клієнті【Користувацький сервер】, досягаючи повністю автономної та керованої маршрутизації сигналів.
Фізична ізоляція локальної мережі та взаємна передача (у розробці): У майбутніх ітераціях UKey робочий стіл підтримуватиме функцію ретрансляційної станції сигналізації для локальної мережі (LAN). До того часу пристрої мобільний в одній локальній мережі зможуть завершити міграцію закритий ключ, повністю від’єднавшись від загальнодоступного Інтернету, досягнувши справжньої ізоляції мережі на фізичному рівні.