بروتوكول (CXP) وتنسيق (CXF) لتبادل بيانات الاعتماد في WebAuthn

سرعان ما أصبحت مفاتيح المرور المعيار الذهبي في المصادقة عبر الإنترنت - حيث تقدم بديلاً آمنًا ومقاومًا لـالتصيد الاحتيالي لكلمات المرور التقليدية. بدعم من تحالف FIDO، تعتمد مفاتيح المرور على معايير WebAuthn و FIDO2 وتستخدم التشفير بالمفتاح العام للقضاء على مخاطر سرقة بيانات الاعتماد.

ولكن مع تسارع وتيرة تبنيها، ظهر تحدٍ رئيسي: كيف يمكننا استيراد أو تصدير مفاتيح المرور بين مختلف المزودين - على سبيل المثال، من Bitwarden إلى 1Password أو من سلسلة مفاتيح iCloud من Apple إلى مدير كلمات المرور من Google؟

على عكس كلمات المرور، لا تملك مفاتيح المرور تنسيقًا يمكن تصديره أو استيراده بسهولة. هذا النقص في قابلية التشغيل البيني يخلق صعوبات للمستخدمين ويزيد من خطر التقيد بمزود خدمة معين.

وهنا يأتي دور معيارين ناشئين:

• بروتوكول تبادل بيانات الاعتماد (CXP): يحدد آلية آمنة لنقل مفاتيح المرور بين المزودين.

• تنسيق تبادل بيانات الاعتماد (CXF): يحدد تنسيق بيانات موحد لبيانات الاعتماد نفسها، مثل مفاتيح المرور أو تفاصيل بطاقات الائتمان أو رموز TOTP.

يهدف CXP و CXF معًا إلى جعل قابلية نقل مفاتيح المرور ليست ممكنة فحسب، بل آمنة ومرنة وسهلة الاستخدام. في هذا المقال، سنجيب على الأسئلة التالية:

1. ما هو بروتوكول تبادل بيانات الاعتماد (CXP) وكيف يعمل؟

2. ما هو تنسيق تبادل بيانات الاعتماد (CXF) وكيف يبدو؟

3. ما هو الوضع الحالي لتطوير بروتوكول تبادل بيانات الاعتماد وتنسيق تبادل بيانات الاعتماد؟

مع تزايد عدد المستخدمين والمؤسسات التي تتبنى مفاتيح المرور، يظل هناك تحدٍ حاسم: نقل بيانات الاعتماد بين المنصات. على عكس كلمات المرور، التي يمكن تصديرها كملفات نصية بسيطة أو ملفات CSV (على الرغم من عدم أمان ذلك)، تعتمد مفاتيح المرور على أزواج مفاتيح تشفيرية. وهذا يجعل عملية الاستيراد / التصدير أكثر تعقيدًا وحساسية بكثير.

إليكم ما هو معطل حاليًا في ترحيل مفاتيح المرور:

• لا يوجد تنسيق قياسي: على عكس ملفات CSV لكلمات المرور، لا يوجد لمفاتيح المرور تمثيل عالمي. كل مزود خدمة يخزنها بشكل مختلف.

• عمليات نقل غير آمنة: في بعض المحاولات النادرة لدعم عمليات الترحيل، تم تصدير بيانات الاعتماد بتنسيقات غير مشفرة، مما خلق مخاطر أمنية خطيرة (انظر هذه المناقشة على GitHub).

• فشل الترحيل: بدون بنية متسقة، قد يفشل ترحيل مفاتيح المرور بين المزودين مما يتسبب في فقدان بيانات الاعتماد أو إجبار المستخدمين على إعادة إنشاء مفاتيح المرور.

• الحظر بموجب السياسات: يمكن لبيئات الشركات تعطيل تصدير بيانات الاعتماد بالكامل، خوفًا من عمليات النقل غير الآمنة أو مشكلات التوافق.

• التقييد بمزود خدمة معين: بدون طرق موثوقة لتصدير مفاتيح المرور، يصبح المستخدمون مقيدين بمزود الخدمة الحالي لديهم - وهو أمر يقوض حرية المستخدم والمنافسة.

هذه المشكلة ليست افتراضية، بل تحدث الآن. فمع استخدام الأشخاص لأجهزة ومتصفحات وتطبيقات متعددة لإدارة مفاتيح المرور، أصبحت الحاجة إلى استيراد مفاتيح المرور من نظام بيئي وتصدير مفاتيح المرور إلى آخر أمرًا ملحًا.

لهذا السبب تعاونت كبرى الشركات مثل 1Password و Dashlane و Bitwarden و NordPass في أوائل عام 2023 لوضع نموذج أولي لحل. وكانت النتيجة: جهد تعاوني لتحديد معايير مفتوحة لتبادل بيانات الاعتماد بشكل آمن - بروتوكول تبادل بيانات الاعتماد (CXP) و تنسيق تبادل بيانات الاعتماد (CXF).

لمواجهة تحديات ترحيل مفاتيح المرور، ظهر معياران متكاملان: بروتوكول تبادل بيانات الاعتماد (CXP) و تنسيق تبادل بيانات الاعتماد (CXF). بدعم من رواد الصناعة بما في ذلك Apple و Google و Microsoft و 1Password، تهدف هذه المواصفات إلى جعل استيراد وتصدير مفاتيح المرور آمنًا وموحدًا وقابلاً للتشغيل البيني.

بروتوكول تبادل بيانات الاعتماد (CXP) هو مواصفة تحدد طريقة آمنة لنقل بيانات الاعتماد بين اثنين من مزودي بيانات الاعتماد / مفاتيح المرور. حاليًا هو مسودة عمل ضمن تحالف FIDO، ولا يزال تصميمه قيد التطوير، لكنه يهدف إلى إنشاء قناة موحدة وآمنة لتصدير بيانات الاعتماد من مرسل واستيرادها إلى مستقبل.

على الرغم من أن التفاصيل ليست نهائية بعد، فمن المتوقع أن يستخدم البروتوكول تشفير المفتاح العام الهجين (HPKE) لضمان تشفير بيانات الاعتماد من طرف إلى طرف أثناء النقل. سيوفر هذا الأساس التشفيري القوي حماية للبيانات الحساسة من الاعتراض أو التلاعب.

من المتصور أن يكون CXP مهمًا بشكل خاص لمزودي الطرف الثالث، مثل مديري كلمات المرور، لتسهيل تبادل بيانات الاعتماد بين المنصات المختلفة، على سبيل المثال بين إضافات المتصفح. في هذه السيناريوهات، تعد الحاجة إلى بروتوكول نقل موحد وآمن للغاية أمرًا بالغ الأهمية. نظرًا لأنه لا يزال في مرحلة المسودة المبكرة، فإن شكله النهائي والجدول الزمني لتوحيده غير مؤكدين، مع تقديرات تشير إلى أوائل عام 2026.

يحدد تنسيق تبادل بيانات الاعتماد (CXF) كيفية هيكلة بيانات الاعتماد نفسها للتبادل. وهو حاليًا في حالة مسودة للمراجعة، مما يعني أنه قريب من الانتهاء كمعيار.

على عكس CXP، الذي يتعامل مع النقل الآمن، يركز CXF حصريًا على تنسيق البيانات. فهو يحدد بنية قياسية قائمة على JSON لأنواع مختلفة من بيانات الاعتماد، مما يضمن أن بيانات الاعتماد المصدرة من مزود واحد يمكن فهمها بشكل صحيح من قبل مزود آخر.

يحدد CXF أنواعًا لـ:

• مفاتيح المرور (public-key-credential)
• كلمات المرور (password)
• أسرار TOTP (totp)
• الملاحظات (note)

هذه المفردات الموحدة هي مفتاح قابلية التشغيل البيني. على سبيل المثال، تستخدم كل من Apple و Google بالفعل CXF لنقل بيانات الاعتماد بين التطبيقات الأصلية على نفس الجهاز. نظرًا لأن النقل يحدث محليًا، فإن بروتوكول نقل مخصص مثل CXP ليس مطلوبًا.

من خلال توحيد البنية، يزيل CXF مشكلات مثل عدم تطابق التنسيقات أو فقدان البيانات الجزئي أثناء عمليات الترحيل. كما أنه قابل للتوسيع بطبيعته، مما يسمح بإضافة أنواع جديدة من بيانات الاعتماد في الإصدارات المستقبلية دون كسر التوافق مع الإصدارات السابقة.

اعتبارًا من أواخر عام 2024، وصل كل من بروتوكول تبادل بيانات الاعتماد (CXP) و تنسيق تبادل بيانات الاعتماد (CXF) إلى مراحل مختلفة من النضج، مع زخم صناعي قوي وراءهما.

يتم تنسيق تطوير CXP و CXF من خلال تحالف FIDO، بمساهمات نشطة من كبرى الشركات مثل Apple و Google و Microsoft و 1Password و Bitwarden و Dashlane.

يشير هذا التعاون الواسع إلى التزام مشترك بجعل قابلية نقل مفاتيح المرور حقيقة واقعة. في الواقع، تقوم العديد من الشركات بالفعل بتنفيذ حلول بناءً على المسودات:

• ستستخدم Apple و Google تنسيق CXF لعمليات نقل بيانات الاعتماد عبر التطبيقات على نفس الجهاز.
• يقوم مديرو كلمات المرور من الطرف الثالث ببناء نماذج أولية بناءً على المسودات المبكرة لـ CXP للتحضير لعمليات تبادل آمنة عبر المنصات.

تسير المواصفتان في جداول زمنية مختلفة:

• تنسيق تبادل بيانات الاعتماد (CXF) في مرحلة مسودة للمراجعة. ومن المتوقع أن يتم الانتهاء منه كمعيار رسمي قبل نهاية عام 2024.
• بروتوكول تبادل بيانات الاعتماد (CXP) هو مسودة عمل. مساره نحو التوحيد أطول، مع إصدار محتمل في أوائل عام 2026، حيث يتم دمج ملاحظات المجتمع لضمان قوته وأمانه لحالات الاستخدام عبر المنصات.

المسودات متاحة للجمهور على موقع تحالف FIDO، ويتم تشجيع المطورين بنشاط على تقديم ملاحظاتهم لتحسينها قبل الانتهاء منها.

لدعم التجارب المبكرة وتخطيط التنفيذ، يشتمل النظام البيئي لمفاتيح المرور الآن على:

• Passkeys Debugger: منصة تساعد على تصحيح أخطاء طلبات WebAuthn بطريقة مفهومة.

• مجتمع Passkey: مجتمع من مطوري البرامج ومديري المنتجات يناقشون الأسئلة المتعلقة بمفاتيح المرور.

• Passkey Subreddit: منتدى فرعي مخصص لمناقشة الأخبار حول مفاتيح المرور و WebAuthn بما في ذلك CXP و CXF.

• passkeys.eu: أدوات اختبار للمطورين للتحقق من صحة تدفقات WebAuthn وسلوك مفاتيح المرور.

• مسودة CXP على GitHub: بنية رسائل البروتوكول الكاملة والتدفق التشفيري.

• مسودة CXF على GitHub: تخطيط ملف ZIP وتنسيق حزم بيانات الاعتماد.

على الرغم من أنهما لم يتم توحيدهما بالكامل بعد، فمن الواضح أن CXP و CXF في طريقهما ليصبحا القطعة المفقودة الأخيرة في لغز مفاتيح المرور - مما يتيح الاستيراد/التصدير الآمن والسلس للمستخدمين والمؤسسات على حد سواء.

وُلد بروتوكول تبادل بيانات الاعتماد (CXP) و تنسيق تبادل بيانات الاعتماد (CXF) من الحاجة إلى جعل استيراد وتصدير مفاتيح المرور آمنًا وسلسًا. لكن إمكاناتهما لا تتوقف عند هذا الحد.

تؤسس هذه المعايير مخططًا لنقل أي بيانات اعتماد حساسة بين المزودين - بشكل آمن وموثوق وعبر المنصات. وهذا يفتح الباب أمام حالات استخدام أوسع في مجال الهوية والمصادقة وحتى بيانات الاعتماد الصادرة عن الحكومات.

أحد أكبر المخاوف بشأن تبني مفاتيح المرور حاليًا هو التقييد بمزود خدمة معين. بدون طريقة لنقل بيانات الاعتماد بشكل آمن، غالبًا ما يكون المستخدمون مرتبطين بمزودهم الأصلي - حتى لو تغيرت احتياجاتهم.

مع CXP و CXF، نتحرك نحو نظام بيئي لمفاتيح المرور قابل للتشغيل البيني حقًا، حيث يمكن للمستخدمين والمؤسسات:

• ترحيل مفاتيح المرور بحرية بين المزودين

• تجنب إنشاء بيانات اعتماد مكررة

• تبسيط عمليات الانتقال بين الأجهزة والمنصات

يدعم هذا بشكل مباشر حرية اختيار المستهلك، ويعزز المنافسة، ويقوي الثقة في نموذج مفاتيح المرور.

كما قال كريستيان براند، مدير المنتجات في مجموعة الهوية والأمان في Google:

"في المستقبل، يمكن أن ينطبق هذا على رخص القيادة المحمولة، وجوازات السفر - أي أسرار تريد تصديرها إلى مكان ما واستيرادها إلى نظام آخر."

تخيل نقل ما يلي بشكل آمن:

• مفاتيح المرور (public-key-credential)

• أسرار TOTP (totp)

• تفاصيل الدفع (credit-card)

• الهويات الحكومية (identity-document)

كل ذلك من خلال نفس آلية التبادل الموحدة. هذا هو المستقبل الذي يساعد CXP و CXF في تشكيله.

مع تحول تبادل بيانات الاعتماد القابلة للتحقق والمشفرة إلى القاعدة، ستتمكن المؤسسات أخيرًا من التخلص من عمليات تصدير CSV غير الآمنة، وتجنب العمليات اليدوية المعرضة للخطأ، وفرض سياسات التشفير أولاً لجميع عمليات التعامل مع بيانات الاعتماد.

سواء في مجال المستهلكين أو تكنولوجيا المعلومات في المؤسسات أو أنظمة الهوية في القطاع العام، فإن هذا التحول يرفع المستوى الأمني الافتراضي - دون المساس بقابلية الاستخدام.

يمثل بروتوكول تبادل بيانات الاعتماد (CXP) و تنسيق تبادل بيانات الاعتماد (CXF) تطورًا حاسمًا في النظام البيئي لمفاتيح المرور. من خلال معالجة الثغرات طويلة الأمد في ترحيل بيانات الاعتماد، فإنهما يوفران إطارًا آمنًا وموحدًا لاستيراد وتصدير مفاتيح المرور عبر مختلف المنصات والمزودين. بينما يوحد CXF "ماذا" (تنسيق البيانات) ويوحد CXP "كيف" (النقل الآمن)، فإنهما يمهدان الطريق معًا لقابلية نقل حقيقية لمفاتيح المرور.

مع الدعم الواسع من رواد الصناعة والزخم المتزايد في مجتمع FIDO، تستعد هذه المواصفات لإزالة واحدة من آخر العقبات الرئيسية أمام تبني مفاتيح المرور: قابلية النقل.

بالنسبة للمطورين والمؤسسات التي تبني أنظمة قائمة على مفاتيح المرور اليوم، فإن مواكبة CXP و CXF لا تتعلق فقط بالاستعداد للمستقبل - بل تتعلق بتمكين تجارب مستخدم أفضل وأمان أكثر إحكامًا ومرونة أكبر.

في Corbado، نتابع هذه التطورات عن كثب ونساعد المؤسسات على تنفيذ مفاتيح المرور على نطاق واسع - دون التقيد بمزود خدمة معين أو صداع ترحيل المستخدمين أو تنازلات أمنية. مع نضوج النظام البيئي، سنكون من بين الأوائل الذين يدعمون التدفقات القائمة على CXP/CXF لجعل تبادل بيانات الاعتماد الآمن حقيقة واقعة.

مفاتيح المرور أصبحت واقعًا. وسيساعد بروتوكول CXP وتنسيق CXF في انتشارها في كل مكان.