ผู้สร้างแพลตฟอร์มส่งข้อความเข้ารหัสยอดนิยม Keybase ได้กลับมาพร้อมโปรเจกต์ใหม่ที่มุ่งแก้ไขข้อจำกัดของบริการเข้ารหัสแบบรวมศูนย์ FOKS (Federated Open Key Service) เป็นแนวทางใหม่สำหรับการจัดเก็บข้อมูลที่ปลอดภัยและการทำงานร่วมกันของทีม ซึ่งสร้างขึ้นใหม่ทั้งหมดในรูปแบบระบบโอเพนซอร์สแบบ federated
ความปลอดภัยหลัง Quantum เป็นจุดเด่นหลัก
FOKS แก้ไขความกังวลที่เพิ่มขึ้นในโลกไซเบอร์เซกิวริตี้: ภัยคุกคามที่คอมพิวเตอร์ควอนตัมมีต่อวิธีการเข้ารหัสปัจจุบัน บริการนี้ใช้การเข้ารหัสที่ปลอดภัยหลัง quantum ร่วมกับวิธีการแบบดั้งเดิมเช่น Curve25519 และอัลกอริทึม ML-KEM ที่ได้มาตรฐาน NIST แนวทางคู่นี้ช่วยให้มั่นใจได้ว่าข้อมูลที่เข้ารหัสจะยังคงปลอดภัยแม้ว่าคอมพิวเตอร์ควอนตัมจะสามารถทำลายมาตรฐานการเข้ารหัสปัจจุบันได้
ระบบนี้จงใจหลีกเลี่ยงเทคนิคการเข้ารหัสที่ซับซ้อนเพื่อใช้วิธีการที่เรียบง่ายและผ่านการทดสอบมาดี ปรัชญาการเข้ารหัสแบบน่าเบื่อนี้ให้ความสำคัญกับความปลอดภัยมากกว่าความแปลกใหม่ โดยใช้การนำไปใช้ที่ผ่านการทดสอบอย่างกว้างขวางแทนแนวทางเชิงทดลอง
คุณสมบัติทางเทคนิคหลัก:
- การเข้ารหัสหลังควอนตัมโดยใช้อัลกอริทึม ML-KEM ร่วมกับ Curve25519
- การโฮสต์ Git และการจัดเก็บข้อมูลแบบ key-value ที่เข้ารหัสแบบ end-to-end
- สถาปัตยกรรมแบบ federated ที่ช่วยให้ทีมสามารถทำงานร่วมกันข้ามเซิร์ฟเวอร์ได้
- รองรับ YubiKey อย่างเต็มรูปแบบพร้อมการหมุนเวียนคีย์แบบ cascading
- โซ่ลายเซ็นและ Merkle trees เพื่อความรับผิดชอบของเซิร์ฟเวอร์
- ใบอนุญาต MIT open-source สำหรับทุกคอมโพเนนต์
 |
|---|
| การนำเสนอแนวคิดอนาคตของเทคโนโลยีและธรรมชาติ เป็นสัญลักษณ์ของศักยภาพการสื่อสารที่ปลอดภัยในโลกหลังยุคควอนตัม |
Federation แก้ปัญหา Vendor Lock-in
แตกต่างจากบริการรวมศูนย์ที่เก็บข้อมูลผู้ใช้ทั้งหมดบนเซิร์ฟเวอร์ที่บริษัทควบคุม FOKS ทำงานเป็นเครือข่ายแบบ federated ใครก็สามารถเรียกใช้เซิร์ฟเวอร์ FOKS ของตนเองได้ คล้ายกับวิธีการทำงานของอีเมลข้ามผู้ให้บริการต่างๆ ทีมสามารถขยายข้ามหลายเซิร์ฟเวอร์ในขณะที่ยังคงการเข้ารหัสแบบ end-to-end ทำให้องค์กรสามารถควบคุมข้อมูลของตนเองได้ในขณะที่ยังคงทำงานร่วมกับพันธมิตรภายนอก
แนวทางแบบ federated นี้แก้ไขความกังวลทั่วไปของผู้ใช้ที่กังวลเรื่องการสูญเสียการเข้าถึงข้อมูลหากบริการปิดตัวลงหรือเปลี่ยนนโยบาย ด้วย FOKS ผู้ใช้สามารถย้ายระหว่างเซิร์ฟเวอร์หรือโฮสต์โครงสร้างพื้นฐานของตนเองได้โดยไม่สูญเสียฟังก์ชันการทำงาน
 |
|---|
| แผนภาพโครงสร้างกุญแจที่แสดงถึงความปลอดภัยและการควบคุมการเข้าถึงในระบบเข้ารหัสแบบ federated |
การโฮสต์ Git และระบบจัดเก็บ Key-Value
บริการนี้ปัจจุบันเสนอแอปพลิเคชันหลักสองตัว: การโฮสต์ Git repository ที่เข้ารหัสและระบบจัดเก็บ key-value ฟีเจอร์การโฮสต์ Git ได้ดึงดูดความสนใจจากอดีตผู้ใช้ Keybase ที่สามารถย้าย repository ที่มีอยู่ได้อย่างง่ายดาย ระบบจัดเก็บ key-value พื้นฐานสามารถจัดการทั้งสตริงข้อความขนาดเล็กและไฟล์ขนาดใหญ่ ซึ่งทั้งหมดจะถูกเข้ารหัสก่อนออกจากอุปกรณ์ของผู้ใช้
สมาชิกชุมชนได้แสดงความสนใจเป็นพิเศษในฟังก์ชัน Git โดยบางคนได้สำรวจความเป็นไปได้ในการรวมเข้ากับเครื่องมือที่มีอยู่สำหรับการจัดการความลับในการดำเนินงานพัฒนา
แอปพลิเคชันปัจจุบัน:
- Git Hosting: การจัดเก็บ repository แบบเข้ารหัสลับแบบ end-to-end พร้อมการเข้ารหัสลับฝั่งเซิร์ฟเวอร์
- Key-Value Store: การจัดเก็บข้อมูลแบบเข้ารหัสลับสำหรับทั้งสตริงขนาดเล็กและไฟล์ขนาดใหญ่
- การจัดการทีม: ทีมแบบ federated พร้อมการควบคุมการเข้าถึงตามบทบาท
- การจัดการอุปกรณ์: รองรับหลายอุปกรณ์พร้อมการรวมระบบ hardware security key
การจัดการอุปกรณ์ด้วย Hardware Security Keys
FOKS รวมการจัดการอุปกรณ์ที่ครอบคลุมพร้อมการสนับสนุนเต็มรูปแบบสำหรับโทเค็นความปลอดภัยฮาร์ดแวร์ YubiKey ผู้ใช้สามารถลงทะเบียนอุปกรณ์และคีย์ความปลอดภัยหลายตัว พร้อมการหมุนเวียนคีย์อัตโนมัติเมื่ออุปกรณ์ถูกเพิกถอน การหมุนเวียนแบบเรียงต่อกันนี้ช่วยให้มั่นใจได้ว่าอุปกรณ์ที่ถูกบุกรุกไม่สามารถเข้าถึงข้อมูลในอนาคตได้ แม้ข้ามขอบเขตทีมแบบ federated
ลองนึกถึงแนวคิดง่ายๆ เช่นการเข้ารหัสความลับด้วย YubiKey หากเป็นความลับสำคัญที่คุณไม่ต้องการสูญเสียจริงๆ คุณจะต้องมี YubiKey ตัวที่สองเป็นสำรอง ในกรณีที่ตัวหลักหายหรือเสีย แต่ตอนนี้คุณจะเข้ารหัสอย่างไรและจะหมุนเวียนตัวหลักออกเมื่อจำเป็น?
ปรัชญาการออกแบบที่ให้ความสำคัญกับความเป็นส่วนตัว
ระบบให้ความสำคัญกับความเป็นส่วนตัวโดยซ่อนข้อมูลส่วนบุคคลไว้หลังการผูกมัดทางการเข้ารหัส ชื่อผู้ใช้ ชื่อทีม ข้อมูลอุปกรณ์ และสมาชิกภาพทีมยังคงถูกปิดบังเว้นแต่จะได้รับอนุญาตให้เข้าถึงอย่างชัดเจน แนวทางนี้ช่วยให้เซิร์ฟเวอร์สามารถรักษาความสอดคล้องทั่วโลกในขณะที่ปกป้องความเป็นส่วนตัวของแต่ละบุคคล
ทีมพัฒนาได้เลือกที่จะเริ่มต้นโปรเจกต์โดยไม่มีเงินทุนภายนอก หลีกเลี่ยงแรงกดดันทางเศรษฐกิจที่บางครั้งทำให้โปรเจกต์โอเพนซอร์สเปลี่ยนใบอนุญาตหรือโมเดลธุรกิจในภายหลัง
คุณสมบัติที่วางแผนไว้:
- แอปพลิเคชันโทรศัพท์มือถือ
- ส่วนติดต่อผู้ใช้แบบเว็บสำหรับ localhost
- การรวมระบบไฟล์แบบ sync-based
- สถาปัตยกรรมปลั๊กอินสำหรับแอปพลิเคชันของบุคคลที่สาม
ข้อจำกัดปัจจุบันและแผนอนาคต
แม้ว่า FOKS จะแสดงให้เห็นถึงความสัญญา แต่ปัจจุบันยังขาดฟีเจอร์ที่เป็นมิตรกับผู้ใช้บางอย่างที่ทำให้ Keybase เป็นที่นิยม เช่น การแชร์ไฟล์ที่ราบรื่นและการตรวจสอบตัวตนสาธารณะผ่านบัญชีโซเชียลมีเดีย การทำงานร่วมกันของทีมต้องการการตั้งค่าด้วยตนเองมากกว่าเมื่อเทียบกับแนวทางที่เป็นระบบของ Keybase
แผนงานการพัฒนารวมถึงแอปพลิเคชันมือถือ อินเทอร์เฟซบนเว็บ และฟีเจอร์การซิงโครไนซ์ระบบไฟล์ อย่างไรก็ตาม ในฐานะโปรเจกต์ที่ทำด้วยความหลงใหลที่พัฒนาโดยทีมเล็กๆ ความก้าวหน้าขึ้นอยู่กับการมีส่วนร่วมและการยอมรับของชุมชน
FOKS เป็นความพยายามที่ทะเยอทะยานในการสร้างโครงสร้างพื้นฐานที่แท้จริงแบบกระจายศูนย์และปลอดภัยสำหรับการทำงานร่วมกันของทีมและการจัดเก็บข้อมูล แม้ว่าจะยังอยู่ในระยะเบต้า แต่ก็ให้ภาพรวมของสิ่งที่บริการเข้ารหัสอาจเป็นได้เมื่อออกแบบโดยมี federation และการควบคุมของผู้ใช้เป็นเป้าหมายหลักแทนที่จะเป็นความคิดหลัง