마이크로ID
MicroID |
MicroID는 분산형 ID 프로토콜입니다.2005년에 Jeremie Miller[1]에 의해 처음 개발되었습니다.A 마이크로ID는 해시된 통신/아이덴티티 URI(이메일, OpenID 및/또는 Yadis)와 청구된 URL로 구성된 단순한 식별자입니다.두 요소가 함께 타사 서비스에서 클레임할 수 있는 해시를 생성합니다.
Ben Laurie는 2008년 Brown[2] CS Technical Report에서 Chris Erway와 마찬가지로 [1]2006년에 사생활 문제를 증명했습니다.
마이크로ID 교환
마이크로의 예를 다음에 나타냅니다.ID 해시, 의사 코드:
MicroID = sha1 ( sha1 scamailto : user@example.com " ) + sha1 scamailhttp://example.net/");
계산된 마이크로그런 다음 ID를 청구할 웹 페이지에 배치합니다.그러면 MicroID를 독립적으로 생성하는 검증자가 페이지를 방문하여 생성된 Micro가ID는 Micro와 동일합니다.페이지 아이디동일할 경우 클레임이 존재합니다.
MicroID는 통신 URI를 기반으로 합니다. 두 마이크로 모두ID 프로바이더와 검증자는 통신 URI, 즉 적절한 Micro를 검증할 수 있습니다.ID 실장에서는 신뢰할 수 있는 아이덴티티 요구를 할 수 있습니다.
보안 제한
MicroID는 기본적으로 이메일 주소 또는 기타 속성으로 서명된 콘텐츠 URI입니다.콘텐츠 URI는 비교를 위해 알려져 있기 때문에 마이크로ID 클레임은 ID와 관련된 통신 URI(이메일 주소 등)를 아는 사람이면 누구나 위조할 수 있습니다.
특히, 검증자는 마이크로를 생성해야 하기 때문에ID를 비교하려면 사용자의 Micro를 검증해야 합니다.또한 ID를 사용하여 새로운 저작자 클레임을 생성하려면 ID를 신뢰할 수 있어야 합니다.
검증할 수 있다면 위조할 수 있습니다.
즉, 자신의 마이크로(예: 밥)를 검증할 수 있는 사람(예: 앨리스)이 있으면,리소스 'X'의 ID는 Micro를 생성할 수도 있습니다(스푸프).다른 문서의 ID(예: Alice는 유효한 Micro를 생성할 수 있음)문서 Y의 ID(X와 동일하지 않음)입니다.
신원을 알 수 없는 경우(예: 1) 게시자가 익명으로 유지하도록 선택하고 2) 다른 게시자가 Micro를 검증할 수 없도록 합니다.ID 클레임은 향후 사용으로 자신의 ID가 드러날 때까지) 전자 메일 주소를 가진 사람은 자원의 소유권을 찾기 위해 사소한 사전 공격을 수행할 수 있습니다.[2] URI를 가진 사람은 사소한 사전 공격을 수행하여 전자 메일 주소를 찾을 수 있습니다.[3]
따라서 (유일한) 사용 사례는 엔티티가 강력한 암호화 난스(예: UUID)를 생성하고, 이를 사용하여 시간이 지남에 따라 문서를 퍼블리싱하는 것입니다.또, 장래에는, UUID를 사용해 그러한 문서를 작성한 것을 증명하는 것으로, 그 시점부터 모든 유저가 자신을 대신해 클레임을 제기할 수 있습니다.
프라이버시 제한
위에서 설명한 바와 같이 마이크로ID는 공개 URI 및 준공개 전자 메일에서 생성된 해시입니다.둘 다 알고 있는 사람은 페이지에서 아이덴티티 클레임을 확인할 수 있습니다.해시는 특히 스팸 발송자에게 반공개 전자 메일 주소를 숨기는 데 도움이 됩니다.
다만, Last.fm, Digg, Claim과 같은 인기 소셜 사이트에 대한 조사 결과[2]ID는, 20~25%의 케이스에서, 무차별 포스 공격이 전자 메일주소를 복호화할 수 있는 것을 나타내고 있습니다.
무차별 포스 공격은 공개 사용자 이름 및 소셜 웹사이트에서 사용 가능한 기타 정보에서 파생된 전자 메일 주소를 추측하기 때문에 Micro당 12개 정도의 후보 주소만 확인합니다.ID. 그럼에도 불구하고 이번 연구는 각 사용자의 모든 후보를 체크하는 데 몇 초밖에 걸리지 않는 시간 동안에도 이와 같은 단순한 공격이 여전히 1/4의 시간 동안 성공할 수 있다는 것을 보여주었습니다.따라서 해시 방식은 전자 메일 주소의 개인 정보를 보장하지 않습니다.
마이크로 아키텍처아이디 클레임
Micro의 성공 사례ID 클레임은 다음과 같습니다.
- 사용자가 웹 서비스에 등록합니다.이 웹 서비스는 사용자의 전자 메일을 확인하고 MicroID가 포함된 사용자의 공용 웹 페이지를 만듭니다.그 마이크로ID는 해시된 전자 메일(통신 URI)과 웹 페이지의 URL로 구성됩니다.
- 사용자는 검증 서비스에 등록합니다.이 서비스는 사용자의 이메일도 확인합니다.
- 사용자는 청구하고 싶은 페이지의 URL을 검증 서비스에 입력합니다.검증 서비스는 마이크로를 계산합니다.ID 및 마이크로 확인 시도청구된 페이지의 ID.
- 마이크로의 경우클레임된 페이지의 ID가 확인 서비스의 ID와 동일하며 클레임이 존재합니다.그러면 검증자가 페이지의 소유권을 청구합니다.
MicroID 및 DOM
MicroID는 시멘틱 HTML 요소의 주장을 허용합니다.예를 들어 마이크로블록 레벨 요소에 삽입된 ID는 요소에 포함된 모든 소유권 주장을 구성합니다.A 마이크로페이지 헤더에 삽입된 ID는 페이지의 소유권 주장을 구성합니다.클레임은 URI의 세세한 부분에서만 검증할 수 있습니다.
기존의 마이크로아이디 프로바이더
다음 웹 서비스는 Micro를 제공합니다.사용자에 대한 ID:
기존의 마이크로ID 확인자
다음 웹 서비스는 Micro를 확인합니다.ID 클레임:
외부 링크
- http://microid.org - 마이크로아이디 홈페이지
- http://microid.org/blog - 마이크로ID 블로그
- http://lists.ibiblio.org/mailman/listinfo/microid - 마이크로아이디 메일링 리스트
- http://microid.org/code/ - 마이크로ID 오픈 소스 코드
레퍼런스
- ^ Laurie, Ben (2006-03-28). "MicroID". Retrieved 2009-05-08.
- ^ a b Erway, Chris (2008-08-22). MicroID considered harmful (to privacy). Brown University Computer Science. Retrieved 2009-05-08.
