Nollatietotodistukset käyttäjätietojen todentamisessa

Abstract

Nollatietotodistusten hyödyntäminen käyttäjätietojen todentamisessa on kehittyvän digitalisaation, ja tietoturvauhkien vuoksi saanut kasvavassa määrin huomiota potentiaalisena ratkaisuna perinteisen salasanaan perustuvan todentamismenetelmän riskeihin ja haavoittuvuuksiin. Perinteinen salasanaan perustuva todentamismenetelmä on altis vahinkoa aiheuttaville hyökkäyksille muiden tietoturvahaasteiden lisäksi. Nollatietotodistukset sen sijaan mahdollistavat identiteetin todistamisen ilman tarvetta sensitiivisen informaation säilyttämiseen ja lähettämiseen verkon välityksellä. Kirjallisuuskatsauksen tavoitteena oli selvittää, kuinka nollatietotodistuksia hyödynnetään verkkoympäristössä tapahtuvassa käyttäjätietojen todentamisessa, sekä kahden implementaatioesimerkin avulla tunnistaa nollatietotodistusten tarjoamia hyötyjä ja potentiaalisia haittoja. SRP-protokollassa nollatietoisuus saavutetaan käyttäjän salasanasta generoidun – palvelimen kanssa jaetun arvon avulla, joka ei itsessään vaaranna käyttäjän sensitiivistä informaatiota. M-Pin on puolestaan useaan tekijään pohjautuva todentamismenetelmä, jossa hyödynnetään niin sanotun luotetun osapuolen olemassaoloa. Luotettu osapuoli vastaa käyttäjän identiteettisidonnaisen salaisuuden myöntämisestä, josta käyttäjän valitseman PIN-koodin lisäksi generoidaan varmiste, jota käytetään käyttäjän todentamiseen palvelimelle. Nollatietotodistuksia hyödyntävät käyttäjän todentamisen menetelmät osoittautuivat hyvin vastustuskykyisiksi haavoittuvuuksia, kuten väliintulo- ja sanakirjahyökkäyksiä vastaan. Menetelmät koostuvat kuitenkin turvallisuuden takaamiseksi haastavista laskennallisista toimenpiteistä ja menetelmistä, joilla voi olla negatiivinen vaikutus implementaatiomahdollisuuksiin ja skaalautuvuuteen.

The use of zero-knowledge proofs to authenticate user has received increasing attention due to evolving digitalization and security threats as a potential solution to the risks and vulnerabilities of the traditional password-based authentication method. The traditional password-based authentication method is vulnerable to damaging attacks in addition to other security challenges. In contrast, zero-knowledge proofs allow proving identity without the need to store and transmit sensitive information over internet. The aim of this literature review was to investigate how zero-knowledge proofs are used in authenticating user credentials in an online environment, and to identify the benefits and potential drawbacks of zero-knowledge proofs through two implementation examples. In the SRP protocol, zero-knowledge is achieved through a shared value between user and server, generated from the user's password, which itself does not compromise the user's sensitive information. M-Pin, on the other hand, is a multi-factor authentication method that includes the existence of a so-called Trusted Party. The Trusted Party is responsible for granting a user an identity-related secret, which, in addition to the PIN chosen by the user, is used to generate a token required when authenticating user to the server. User authentication methods using zero-knowledge proofs proved to be highly resistant to vulnerabilities such as man-in-the-middle and dictionary attacks. However, they consist of challenging computational operations and methods to ensure security, thus can have a negative impact on implementation capabilities in addition to scalability.