কেন একটি এপিআই কী এবং গোপন ব্যবহার করবেন?

আমি অনেকগুলি এপিআই জুড়ে এসেছি যা ব্যবহারকারীকে একটি এপিআই কী এবং একটি গোপনীয়তা দেয় । তবে আমার প্রশ্ন: উভয়ের মধ্যে পার্থক্য কী?

আমার দৃষ্টিতে, একটি চাবি যথেষ্ট হতে পারে। বলুন আমার কাছে একটি কী আছে এবং কেবলমাত্র আমি এবং সার্ভার এটি জানি। আমি এই কী দিয়ে একটি এইচএমএসি হ্যাশ তৈরি করি এবং একটি এপিআই কল করি। সার্ভারে, আমরা আবার HMAC হ্যাশ তৈরি করি এবং প্রেরিত হ্যাশের সাথে এটি তুলনা করি। যদি এটি একই হয়, কলটি প্রমাণীকৃত।

তাহলে কেন দুটি চাবি ব্যবহার করবেন?

সম্পাদনা করুন: বা সেই API কীটি এপিআই গোপনটি অনুসন্ধান করতে ব্যবহৃত হয়?

গোপন কী ক্রিপ্টোগ্রাফি একই কীটি এনকোড করতে এবং তারপরে একটি বার্তা ডিকোড করার জন্য নির্ভর করে। সুতরাং, যারা "গোপন" জানেন কেবল তারাই এই বার্তাটি পড়তে পারবেন।

আরএসএ সুরক্ষা 2 টি মিলে যাওয়া কীগুলির উপর ভিত্তি করে। প্রতিটি ব্যবহারকারীর জন্য একটি সর্বজনীন কী রয়েছে এবং প্রত্যেকে এটি (এটি) জানতে পারে। একটি ব্যক্তিগত কী রয়েছে যা কেবল ব্যবহারকারীরই জানা উচিত। পাবলিক কী দ্বারা এনক্রিপ্ট করা একটি বার্তা কেবলমাত্র ব্যক্তিগত কী দ্বারা ডিক্রিপ্ট করা যায় এবং ভিসার বিপরীতে।

সুতরাং, আমি যদি আপনাকে একটি বার্তা পাঠাতে চাই যা কেবল আপনিই পড়তে পারেন তবে আমি আপনার পাবলিক কীটি পেয়েছি (নেটওয়ার্ক থেকে), সেই কীটি দিয়ে বার্তাটি এনক্রিপ্ট করুন এবং আপনি একমাত্র ব্যক্তি যিনি এটি ডিক্রিপ্ট করতে পারবেন।

অথবা, আমি যদি আপনাকে প্রমাণ করতে চাই যে আমি একটি বার্তা প্রেরণ করেছি, আমি আমার ব্যক্তিগত কী দিয়ে বার্তাটি এনক্রিপ্ট করতে পারি, আপনাকে কীভাবে এনক্রিপ্ট করা হয়েছিল (খোলা পাঠ্যে বা অন্য কোনও বার্তায়) বলতে পারি। তারপরে আপনি আমার সর্বজনীন কী দিয়ে বার্তাটি ডিক্রিপ্ট করতে পারবেন এবং যদি এটি পাঠযোগ্য হয় তবে আপনি জানেন যে এটি আমার কাছ থেকে এসেছে।

এই এনক্রিপশনের এই ফর্মটি মোটামুটি কম্পিউটারের নিবিড়, সুতরাং যা কখনও কখনও করা হয় তা হ'ল আরএসএ প্রযুক্তির সাথে একটি এক সময়ের "সিক্রেট কী" এনক্রিপ্ট করা, তারপরে বাকী বার্তাটি গোপন কী দিয়ে এনক্রিপ্ট করা, তারপরে দ্বিতীয় ফ্যাশনে আমার স্বাক্ষরটি এনক্রিপ্ট করুন। তারপরে আপনি এই প্রক্রিয়াটি বিপরীত করুন সুতরাং যদি বার্তা এবং স্বাক্ষর পাঠযোগ্য হয় তবে আপনি এবং কেবল আপনি এটি পড়তে পারেন এবং আপনি নিশ্চিত হয়ে গেছেন যে আমি বার্তাটি প্রেরণ করেছি।

বা

আপনি আরও বিশদ ব্যাখ্যার জন্য এই লিঙ্কটি দেখতে পারেন।

এপিআই কী এবং গোপন কী কীভাবে কাজ করে?

আপনার দুটি পৃথক কী প্রয়োজন, একটি যা তাদেরকে বলে দেয় আপনি কে এবং অন্যটি যা আপনাকে প্রমাণ করে যে আপনি যাকে বলছেন তিনি ।

"কী" হ'ল আপনার ব্যবহারকারীর আইডি এবং "গোপন" হ'ল আপনার পাসওয়ার্ড। তারা কেবল "কী" এবং "গোপনীয়" শর্তাদি ব্যবহার করে কারণ তারা এভাবেই এটি প্রয়োগ করেছে।

সহজ উত্তর, আমি যদি এটি সঠিকভাবে বুঝতে পারি ...

আপনি যদি এনক্রিপশনের জন্য আপনার এপিআই কী ব্যবহার করেন তবে পরিষেবাটি কীভাবে তাদের সাথে যোগাযোগ করছে তা জানতে পারবে? কীভাবে তারা এই বার্তাটি ডিক্রিপ্ট করবেন?

আপনি কে তা জানানোর জন্য আপনি এপিআই কী ব্যবহার করেন, আপনি সরল পাঠ্যে এটি পাঠাচ্ছেন। সিক্রেট কী আপনি কারও কাছে প্রেরণ করেন না। আপনি কেবল এটি এনক্রিপশনের জন্য ব্যবহার করুন। তারপরে আপনি এনক্রিপ্ট করা বার্তাটি প্রেরণ করুন। এনক্রিপশনের জন্য ব্যবহৃত কীটি আপনি প্রেরণ করবেন না, এটি উদ্দেশ্যকে পরাস্ত করবে।

গোপন এবং (সর্বজনীন) কী কী তা ব্যাখ্যা করার উত্তর রয়েছে। এটি একটি সরকারী-বেসরকারী কী জুটি যা তারা বিভ্রান্তিকর নাম দেয়। তবে কেউ বলছেন না কেন API গুলি উভয়েরই প্রয়োজন, এবং অনেকগুলি API আপনাকে কেবল একটি গোপনীয়তা দেয়! আমি কখনও কোনও এপিআই-র ডক্স ব্যাখ্যা করতে দেখিনি যে তাদের কাছে দুটি কী কী রয়েছে, তাই আমি সবচেয়ে ভাল করতে পারি অনুমান করা ...

আপনার অনুরোধে আপনার সর্বজনীন কীটি রাখা এবং আপনার ব্যক্তিগত কী দিয়ে স্থানীয়ভাবে অনুরোধটি সাইন করা ভাল; আরও কিছু প্রেরণের দরকার নেই। তবে কেউ কেউ কেবল অনুরোধের গোপনীয়তা পেয়ে পালিয়ে যায়। ঠিক আছে, যে কোনও ভাল এপিআই কিছু পরিবহন সুরক্ষা যেমন টিএলএস (সাধারণত এইচটিটিপিএস এর উপরে) ব্যবহার করবে। তবে আপনি এখনও নিজের প্রাইভেট কীটি সার্ভারের কাছে সেভাবে উন্মুক্ত করছেন, তাদের ঝুঁকি বাড়িয়ে তুলছেন কোনওরকমভাবে এটি ভুলভাবে চালিত করে (দেখুন: গিটহাব এবং টুইটারের পাসওয়ার্ড লগিং বাগটি সম্প্রতি আবিষ্কার হয়েছে)। এবং এইচটিটিপিএস তাত্ত্বিকভাবে ঠিক ততটাই সুরক্ষিত, তবে সেখানে সবসময় বাস্তবায়নের ত্রুটি রয়েছে।

তবে অনেকগুলি - আসলে এটি বেশিরভাগই মনে হয় - APIs আপনি উভয় কীগুলি অনুরোধে প্রেরণ করেছেন যেহেতু লোকেরা তাদের নিজস্ব স্বাক্ষরগুলি তৈরি করার চেয়ে সহজ; অন্যথায় খাঁটি সিআরএল উদাহরণ থাকতে পারে না! সেক্ষেত্রে এগুলি আলাদা করা অর্থহীন। আমি অনুমান করি যে পৃথক কীগুলি যদি পরে এপিআই পরিবর্তন করে তবে সেগুলির সুবিধা নিতে পারে for বা কারও কারও কাছে ক্লায়েন্ট লাইব্রেরি রয়েছে যা এটি আরও সুরক্ষিত উপায়ে করতে পারে।

একটি জিনিস যা আমি এখানে উল্লেখ করতে দেখিনি, যদিও এটি মার্কাস অ্যাডামসের উত্তরের একটি সম্প্রসারণ, তা হ'ল সময়সীমার আক্রমণ হওয়ার সম্ভাবনা থাকলে ব্যবহারকারীকে সনাক্ত এবং প্রমাণ করার জন্য আপনার একক টুকরো তথ্য ব্যবহার করা উচিত নয় , যা করতে পারে একটি স্ট্রিং তুলনা কতদূর পেয়েছে অনুমান করতে প্রতিক্রিয়া সময়ে পার্থক্যগুলি ব্যবহার করুন।

আপনি যদি এমন কোনও সিস্টেম ব্যবহার করেন যা ব্যবহারকারী বা শংসাপত্র অনুসন্ধান করার জন্য একটি "কী" ব্যবহার করে, সেই তথ্যটির টুকরোটি হাজার হাজার অনুরোধগুলি প্রেরণ করে এবং আপনার ডাটাবেসের সন্ধান করতে যে সময় লাগে তা পরীক্ষা করে (বা না সন্ধান) একটি রেকর্ড। এটি বিশেষত সত্য যদি "কী" কীটির এক-মুখী হ্যাশের পরিবর্তে সরলরেখায় সংরক্ষণ করা হয়। আপনি যদি ব্যবহারকারীর কীটি আবার ব্যবহারকারীর কাছে প্রদর্শন করতে সক্ষম হন তবে আপনি একটি সাধারণ প্লেটেক্সট বা সিমেট্রিক্যালি-এনক্রিপ্টযুক্ত ব্যবহারকারীর কীগুলি সংরক্ষণ করতে চান।

দ্বিতীয় টুকরো তথ্য বা "গোপন" রাখার মাধ্যমে আপনি প্রথমে "কী" ব্যবহার করে ব্যবহারকারীর বা শংসাপত্রটি সন্ধান করতে পারেন যা কোনও সময় আক্রমণে ঝুঁকিপূর্ণ হতে পারে, তারপরে একটি মান নির্ধারণের জন্য সময়-সুরক্ষার তুলনা ফাংশনটি ব্যবহার করুন গোপন".

পাইথনের সেই ফাংশনটি বাস্তবায়ন করা হল:

https://github.com/python/cpython/blob/cd8295ff758891f21084a6a5ad3403d35dda38f7/odules/_operator.c#L727

এবং এটি hmacলিবে (এবং সম্ভবত অন্যরা) প্রকাশ করা হয়েছে:

https://docs.python.org/3/library/hmac.html#hmac.compare_digest

এখানে একটি বিষয় লক্ষণীয় যে আমি মনে করি না যে এই ধরণের আক্রমণটি অনুসন্ধানের আগে হ্যাশ করা বা এনক্রিপ্ট করা মানগুলিতে কাজ করবে, কারণ যে মানগুলি তুলনা করা হচ্ছে তা প্রতিবার ইনপুট স্ট্রিংয়ের একটি অক্ষর এলোমেলোভাবে পরিবর্তিত হয়। আমি এখানে এটির একটি ভাল ব্যাখ্যা পেয়েছি ।

এরপরে এপিআই কীগুলি সংরক্ষণের সমাধানগুলি হ'ল:

1. একটি পৃথক কী এবং গোপন ব্যবহার করুন, রেকর্ডটি সন্ধানের জন্য কীটি ব্যবহার করুন এবং গোপনীয়তাটি পরীক্ষা করতে একটি সময়-নিরাপদ তুলনা ব্যবহার করুন। এটি আপনাকে ব্যবহারকারীকে আবার কোনও ব্যবহারকারীর কাছে কী এবং গোপনীয়তা দেখাতে দেয়।
2. একটি পৃথক কী এবং গোপন ব্যবহার করুন, গোপনে প্রতিসাম্য, ডিস্ট্রিমেন্টিক এনক্রিপশন ব্যবহার করুন এবং এনক্রিপ্ট করা গোপনগুলির একটি সাধারণ তুলনা করুন। এটি আপনাকে ব্যবহারকারীকে আবার কী এবং গোপনীয়তা দেখাতে দেয় এবং সময়-নিরাপদ তুলনা কার্যকর করতে বাঁচাতে পারে।
3. একটি পৃথক কী এবং গোপন ব্যবহার করুন, গোপনটি প্রদর্শন করুন, হ্যাশ করুন এবং এটি সংরক্ষণ করুন, তারপরে হ্যাশ গোপনের একটি সাধারণ তুলনা করুন। এটি দ্বি-মুখী এনক্রিপশন ব্যবহার করার প্রয়োজনীয়তা সরিয়ে দেয় এবং সিস্টেমটি আপস করা থাকলে আপনার গোপন সুরক্ষিত করার অতিরিক্ত সুবিধা রয়েছে। এর খারাপ দিক রয়েছে যা আপনি আবার ব্যবহারকারীর কাছে গোপনীয়তা দেখাতে পারবেন না।
4. একটি একক কী ব্যবহার করুন , এটি একবার ব্যবহারকারীর কাছে প্রদর্শন করুন, এটি হ্যাশ করুন, তারপরে হ্যাশড বা এনক্রিপ্ট করা কীটির সাধারণ অনুসন্ধান করুন। এটি একটি একক কী ব্যবহার করে তবে এটি ব্যবহারকারীর কাছে আবার দেখাতে সক্ষম নয়। সিস্টেমটি আপস করা থাকলে কীগুলি সুরক্ষিত রাখার সুবিধা রয়েছে।
5. একটি সিঙ্গল কী ব্যবহার করুন , এটি একবার ব্যবহারকারীর কাছে দেখান, এটিকে এনক্রিপ্ট করুন এবং এনক্রিপ্ট করা গোপনের একটি সাধারণ অনুসন্ধান করুন। ব্যবহারকারীর কাছে আবার প্রদর্শিত হতে পারে, তবে কীগুলি অরক্ষিত হওয়াতে যদি তারা সিস্টেম আপস করে থাকে।

এর মধ্যে আমি মনে করি যে 3 সুরক্ষা এবং সুবিধার সর্বোত্তম ভারসাম্য। কীগুলি জারি করার সময় আমি বহু ওয়েবসাইটে এটি প্রয়োগ করা দেখেছি।

এছাড়াও, আমি এই উত্তরটির সমালোচনা করার জন্য যে কোনও প্রকৃত সুরক্ষা বিশেষজ্ঞকে আমন্ত্রণ জানাই। আমি এটি অন্য আলোচনার পয়েন্ট হিসাবে এখানে পেতে চেয়েছিলেন।