WebAuthn Kimlik Bilgisi Değişim Protokolü (CXP) ve Formatı (CXF)

Passkey'ler, geleneksel şifrelere karşı güvenli ve phishing saldırılarına dayanıklı bir alternatif sunarak hızla çevrimiçi kimlik doğrulamanın altın standardı haline geliyor. FIDO Alliance tarafından desteklenen passkey'ler, WebAuthn ve FIDO2 standartları üzerine inşa edilmiştir ve kimlik bilgisi hırsızlığı risklerini ortadan kaldırmak için açık anahtar kriptografisi kullanır.

Ancak kullanım yaygınlaştıkça önemli bir zorluk ortaya çıktı: Passkey'leri farklı sağlayıcılar arasında nasıl içe veya dışa aktarabiliriz? Örneğin, Bitwarden uygulamasından 1Password uygulamasına veya Apple iCloud Keychain servisinden Google Password Manager servisine nasıl taşıyabiliriz?

Şifrelerin aksine, passkey'lerin kolayca dışa veya içe aktarılabilecek bir formatı yoktur. Bu birlikte çalışabilirlik eksikliği, kullanıcılar için zorluk yaratır ve sağlayıcıya bağımlılık riskini artırır.

İşte bu noktada iki yeni standart devreye giriyor:

• Kimlik Bilgisi Değişim Protokolü (CXP): Passkey'leri sağlayıcılar arasında güvenli bir şekilde aktarmak için bir mekanizma tanımlar.

• Kimlik Bilgisi Değişim Formatı (CXF): Passkey'ler, kredi kartı bilgileri veya TOTP kodları gibi kimlik bilgilerinin kendisi için standartlaştırılmış bir veri formatı tanımlar.

CXP ve CXF, birlikte passkey taşınabilirliğini sadece mümkün kılmakla kalmayıp aynı zamanda güvenli, esnek ve kullanıcı dostu hale getirmek için tasarlanmıştır. Bu blog yazısında aşağıdaki soruları yanıtlayacağız:

1. Kimlik Bilgisi Değişim Protokolü (CXP) nedir ve nasıl çalışır?

2. Kimlik Bilgisi Değişim Formatı (CXF) nedir ve neye benzer?

3. Kimlik Bilgisi Değişim Protokolü ve Kimlik Bilgisi Değişim Formatı'nın mevcut geliştirme durumu nedir?

Daha fazla kullanıcı ve kuruluş passkey'leri benimsedikçe, kritik bir zorluk devam ediyor: kimlik bilgilerini platformlar arasında taşımak. Basit metin veya CSV dosyaları olarak dışa aktarılabilen (ne kadar güvensiz olsa da) şifrelerin aksine, passkey'ler kriptografik anahtar çiftlerine dayanır. Bu durum, içe/dışa aktarma işlemini çok daha karmaşık ve hassas hale getirir.

İşte passkey geçişinde şu anda bozuk olan noktalar:

• Standart Format Yok: Şifreler için kullanılan CSV'lerin aksine, passkey'lerin evrensel bir gösterimi yoktur. Her sağlayıcı onları farklı şekilde saklar.

• Güvensiz Aktarımlar: Geçişleri desteklemeye yönelik bazı nadir denemelerde, kimlik bilgileri şifrelenmemiş formatlarda dışa aktarılarak ciddi güvenlik riskleri yaratılmıştır (bkz. bu GitHub tartışması).

• Geçiş Hataları: Tutarlı bir yapı olmadan, passkey'leri sağlayıcılar arasında taşımak başarısız olabilir, kimlik bilgilerinin kaybolmasına veya kullanıcıların passkey'leri yeniden oluşturmak zorunda kalmasına neden olabilir.

• Politika Tarafından Engellenme: Kurumsal ortamlar, güvensiz aktarımlar veya uyumluluk sorunları endişesiyle kimlik bilgisi dışa aktarımını tamamen devre dışı bırakabilir.

• Sağlayıcıya Bağımlılık: Passkey'leri dışa aktarmanın güvenilir yolları olmadan, kullanıcılar mevcut sağlayıcılarına kilitlenir. Bu durum, kullanıcı özgürlüğünü ve rekabeti zayıflatır.

Bu sorun varsayımsal değil, şu anda yaşanıyor. İnsanlar passkey'leri yönetmek için birden fazla cihaz, tarayıcı ve uygulama kullandıkça, bir ekosistemden passkey'leri içe aktarma ve başka bir ekosisteme passkey'leri dışa aktarma ihtiyacı acil hale geliyor.

İşte bu yüzden 1Password, Dashlane, Bitwarden ve NordPass gibi büyük oyuncular 2023'ün başlarında bir çözüm prototipi oluşturmak için bir araya geldi. Sonuç: güvenli kimlik bilgisi değişimi için açık standartlar tanımlamaya yönelik ortak bir çaba - Kimlik Bilgisi Değişim Protokolü (CXP) ve Kimlik Bilgisi Değişim Formatı (CXF).

Passkey geçişinin zorluklarını ele almak için birbirini tamamlayan iki standart ortaya çıktı: Kimlik Bilgisi Değişim Protokolü (CXP) ve Kimlik Bilgisi Değişim Formatı (CXF). Apple, Google, Microsoft ve 1Password gibi sektör liderleri tarafından desteklenen bu spesifikasyonlar, passkey'leri içe ve dışa aktarmayı güvenli, standartlaştırılmış ve birlikte çalışabilir hale getirmeyi amaçlıyor.

Kimlik Bilgisi Değişim Protokolü (CXP), kimlik bilgilerini iki kimlik bilgisi / passkey sağlayıcısı arasında aktarmak için güvenli bir yöntem tanımlayan bir spesifikasyondur. Şu anda FIDO Alliance bünyesinde bir Çalışma Taslağı (Working Draft) olan bu protokolün tasarımı hala gelişmektedir, ancak amacı kimlik bilgilerini bir Gönderici'den dışa aktarmak ve bir Alıcı'ya içe aktarmak için standartlaştırılmış ve güvenli bir kanal oluşturmaktır.

Detaylar henüz kesinleşmemiş olsa da, protokolün aktarım sırasında kimlik bilgilerinin uçtan uca şifrelenmesini sağlamak için Hibrit Açık Anahtar Şifrelemesi (HPKE) kullanması beklenmektedir. Bu sağlam kriptografik temel, hassas verilerin ele geçirilmesini veya değiştirilmesini önleyecektir.

CXP'nin, özellikle şifre yöneticileri gibi üçüncü taraf sağlayıcıların, örneğin tarayıcı eklentileri arasında kimlik bilgisi değişimini kolaylaştırması için önemli olması öngörülmektedir. Bu senaryolarda, standartlaştırılmış ve son derece güvenli bir taşıma protokolüne olan ihtiyaç kritiktir. Henüz erken bir taslak aşamasında olduğu için, nihai şekli ve standardizasyon takvimi belirsizdir ve tahminler 2026'nın başlarını işaret etmektedir.

Kimlik Bilgisi Değişim Formatı (CXF), kimlik bilgilerinin değişim için nasıl yapılandırılacağını tanımlar. Şu anda İnceleme Taslağı (Review Draft) statüsündedir, yani bir standart olarak kesinleşmeye yakındır.

Güvenli aktarımı yöneten CXP'nin aksine, CXF yalnızca veri formatına odaklanır. Farklı kimlik bilgisi türleri için standart bir JSON tabanlı yapı belirleyerek, bir sağlayıcıdan dışa aktarılan bir kimlik bilgisinin başka bir sağlayıcı tarafından doğru bir şekilde anlaşılmasını sağlar.

CXF şu türleri tanımlar:

• Passkey'ler (public-key-credential)
• Şifreler (password)
• TOTP sırları (totp)
• Notlar (note)

Bu standartlaştırılmış kelime dağarcığı, birlikte çalışabilirliğin anahtarıdır. Örneğin, hem Apple hem de Google, aynı cihazdaki yerel uygulamalar arasında kimlik bilgisi aktarımı için zaten CXF kullanıyor. Aktarım yerel olarak gerçekleştiği için, CXP gibi özel bir taşıma protokolü gerekmez.

CXF, yapıyı standartlaştırarak format uyuşmazlıkları veya geçişler sırasında kısmi veri kaybı gibi sorunları ortadan kaldırır. Ayrıca tasarım gereği genişletilebilir olup, gelecekteki sürümlerde geriye dönük uyumluluğu bozmadan yeni kimlik bilgisi türlerinin eklenmesine olanak tanır.

2024'ün sonları itibarıyla, hem Kimlik Bilgisi Değişim Protokolü (CXP) hem de Kimlik Bilgisi Değişim Formatı (CXF), arkalarında güçlü bir endüstri ivmesiyle farklı olgunluk aşamalarına ulaştı.

CXP ve CXF'in geliştirilmesi, Apple, Google, Microsoft, 1Password, Bitwarden ve Dashlane gibi büyük oyuncuların aktif katkılarıyla FIDO Alliance aracılığıyla koordine edilmektedir.

Bu geniş iş birliği, passkey taşınabilirliğini gerçeğe dönüştürme konusunda ortak bir kararlılığın sinyalini veriyor. Aslında, birkaç şirket şimdiden taslaklara dayalı çözümler uyguluyor:

• Apple ve Google, aynı cihazda, uygulamalar arası kimlik bilgisi aktarımları için CXF kullanacak.
• Üçüncü taraf şifre yöneticileri, güvenli, platformlar arası değişimlere hazırlanmak için CXP'nin erken taslaklarına dayalı prototipler oluşturuyor.

İki spesifikasyon farklı zaman çizelgelerinde ilerliyor:

• Kimlik Bilgisi Değişim Formatı (CXF), İnceleme Taslağı (Review Draft) aşamasındadır. 2024 sonundan önce resmi bir standart olarak kesinleşmesi beklenmektedir.
• Kimlik Bilgisi Değişim Protokolü (CXP), bir Çalışma Taslağı (Working Draft) aşamasındadır. Standardizasyon yolu daha uzundur ve topluluk geri bildirimlerinin entegre edilerek platformlar arası kullanım durumları için sağlam ve güvenli olmasını sağlamak amacıyla potansiyel bir sürüm 2026'nın başlarında olabilir.

Taslak spesifikasyonlar FIDO Alliance web sitesinde halka açıktır ve geliştiricilerden gelen geri bildirimler, kesinleşmeden önce onları iyileştirmek için aktif olarak teşvik edilmektedir.

Erken denemeleri ve uygulama planlamasını desteklemek için passkey ekosistemi artık şunları içeriyor:

• Passkeys Debugger: WebAuthn isteklerini anlaşılır bir şekilde ayıklamaya yardımcı olan bir platform.

• Passkey Topluluğu: Passkey ile ilgili soruları tartışan yazılım geliştiricileri ve ürün yöneticilerinden oluşan bir topluluk.

• Passkey Subreddit: CXP ve CXF dahil olmak üzere passkey'ler ve WebAuthn hakkındaki haberleri tartışmaya adanmış bir subreddit.

• passkeys.eu: Geliştiricilerin WebAuthn akışlarını ve passkey davranışını doğrulaması için test araçları.

• CXP GitHub Taslağı: Tam protokol mesaj yapısı ve kriptografik akış.

• CXF GitHub Taslağı: ZIP dosyası düzeni ve kimlik bilgisi paketleme formatı.

Henüz tam olarak standartlaştırılmamış olsalar da, CXP ve CXF'in passkey bulmacasındaki son eksik parça olma yolunda ilerlediği açıktır - kullanıcılar ve kuruluşlar için güvenli, sorunsuz içe/dışa aktarma sağlayarak.

Kimlik Bilgisi Değişim Protokolü (CXP) ve Kimlik Bilgisi Değişim Formatı (CXF), passkey içe ve dışa aktarımını güvenli ve sorunsuz hale getirme ihtiyacından doğdu. Ancak potansiyelleri burada bitmiyor.

Bu standartlar, herhangi bir hassas kimlik bilgisini sağlayıcılar arasında güvenli, güvenilir ve platformlar arası bir şekilde aktarmak için bir plan oluşturur. Bu, kimlik, kimlik doğrulama ve hatta devlet tarafından verilen kimlik bilgileri gibi daha geniş kullanım alanlarının kapısını aralar.

Mevcut passkey kullanımındaki en büyük endişelerden biri sağlayıcıya bağımlılıktır. Kimlik bilgilerini güvenli bir şekilde taşımanın bir yolu olmadan, kullanıcılar ihtiyaçları değişse bile genellikle orijinal sağlayıcılarına bağlı kalırlar.

CXP ve CXF ile, kullanıcıların ve kurumların şunları yapabileceği gerçekten birlikte çalışabilir bir passkey ekosistemine doğru ilerliyoruz:

• Passkey'leri sağlayıcılar arasında özgürce taşıma

• Yinelenen kimlik bilgisi oluşturmaktan kaçınma

• Cihaz ve platform geçişlerini basitleştirme

Bu, doğrudan tüketici seçimini destekler, rekabeti teşvik eder ve passkey modeline olan güveni güçlendirir.

Google'da Kimlik ve Güvenlik Grubu Ürün Yöneticisi olan Christiaan Brand'in dediği gibi:

“Gelecekte bu, mobil ehliyetler, pasaportlar gibi başka bir yere aktarmak ve başka bir sisteme içe aktarmak istediğiniz tüm sırlar için geçerli olabilir.”

Şunları güvenli bir şekilde aktardığınızı hayal edin:

• Passkey'ler (public-key-credential)

• TOTP sırları (totp)

• Ödeme detayları (credit-card)

• Devlet kimlikleri (identity-document)

tümünü aynı, standartlaştırılmış değişim mekanizması aracılığıyla. İşte CXP ve CXF'in şekillenmesine yardımcı olduğu gelecek bu.

Şifrelenmiş, doğrulanabilir kimlik bilgisi değişiminin norm haline gelmesiyle, kuruluşlar nihayet güvensiz CSV dışa aktarımlarını kullanımdan kaldırabilecek, hataya açık manuel süreçlerden kaçınabilecek ve tüm kimlik bilgisi işlemleri için önce şifreleme politikalarını uygulayabilecekler.

İster tüketici alanında, ister kurumsal BT'de veya kamu sektörü kimlik sistemlerinde olsun, bu değişim kullanılabilirlikten ödün vermeden varsayılan güvenlik çıtasını yükseltir.

Kimlik Bilgisi Değişim Protokolü (CXP) ve Kimlik Bilgisi Değişim Formatı (CXF), passkey ekosisteminde kritik bir evrimi temsil ediyor. Kimlik bilgisi geçişindeki uzun süredir devam eden boşlukları gidererek, farklı platformlar ve sağlayıcılar arasında passkey'leri içe ve dışa aktarmak için güvenli, standartlaştırılmış bir çerçeve sunuyorlar. CXF "ne"yi (veri formatı) ve CXP "nasıl"ı (güvenli aktarım) standartlaştırırken, birlikte gerçek passkey taşınabilirliğinin yolunu açıyorlar.

Sektör liderlerinden gelen geniş destek ve FIDO topluluğundaki artan ivme ile bu spesifikasyonlar, passkey kullanımının önündeki son büyük engellerden birini kaldırmaya hazırlanıyor: taşınabilirlik.

Bugün passkey tabanlı sistemler kuran geliştiriciler ve kuruluşlar için CXP ve CXF'in ilerisinde olmak sadece geleceğe hazırlık yapmakla ilgili değil; daha iyi kullanıcı deneyimleri, daha sıkı güvenlik ve daha fazla esneklik sağlamakla ilgilidir.

Corbado olarak, bu gelişmeleri yakından takip ediyor ve kurumların büyük ölçekte passkey'leri uygulamalarına yardımcı oluyoruz - sağlayıcıya bağımlılık, kullanıcı geçişi sıkıntıları veya güvenlik tavizleri olmadan. Ekosistem olgunlaştıkça, güvenli kimlik bilgisi değişimini gerçeğe dönüştürmek için CXP/CXF tabanlı akışları destekleyen ilklerden biri olacağız.

Passkey'ler artık hayatımızda. CXP ve CXF ise onların her yere yayılmasına yardımcı olacak.