Passkey'ler ve Uçtan Uca Şifreleme için WebAuthn PRF (2025)

WebAuthn ve Passkey'ler, açık anahtar kriptografisi aracılığıyla kimlik avına dayanıklı, şifresiz girişler sunarak web kimlik doğrulamasında devrim yarattı. Ancak yetenekleri sadece oturum açmanın ötesine geçiyor. Heyecan verici bir özellik de WebAuthn Sözde Rastgele Fonksiyon (PRF) eklentisidir. Bu eklenti, web uygulamalarının kimlik doğrulama sırasında doğrudan bir kullanıcının Passkey'inden veya donanım güvenlik anahtarından gizli anahtarlar türetmesine olanak tanır. Bu, ayrı bir şifreye ihtiyaç duymadan, yalnızca Passkey'inizi kullanarak uçtan uca şifrelenmiş verilerin kilidini açmayı veya güvenli bir kasanın şifresini çözmeyi mümkün kılar. Bu makalede aşağıdaki soruları yanıtlamak istiyoruz:

• Passkey PRF kullanım alanları: WebAuthn PRF eklentisini kullanmak için ilginç kullanım alanları nelerdir?
• PRF eklentisi desteği: Günümüzde işletim sistemleri ve tarayıcılarda WebAuthn PRF eklentisinin gerçek güncel desteği nedir?

Bu makale, WebAuthn PRF eklentisini analiz ederek teknik özelliklerini, kullanım alanlarını, uygulama ayrıntılarını, güvenlik hususlarını ve mevcut tarayıcı ile işletim sistemi desteği ortamını inceliyor. 2025 ekosistemindeki değişikliklere odaklanıyor ve 2023'te Matthew Miller ve Levi Schuck tarafından atılan temelleri genişletiyoruz. Bu kişilerin önceki makaleleri, ayrıntılı teknik arka plan, canlı örnekler ve çevrimiçi testler (şifreleme dahil) sunmaktadır.

WebAuthn PRF eklentisi (PRF), resmi olarak WebAuthn Seviye 3 spesifikasyonunda tanımlanmıştır. Temel amacı, bir Bağlı Tarafın (Relying Party) (web uygulamanız), bir kimlik doğrulama seremonisi (navigator.credentials.get()) sırasında belirli bir WebAuthn kimlik bilgisi (Passkey) ile ilişkili bir sözde rastgele fonksiyonun değerlendirilmesini talep etmesine izin vermektir.

Bir PRF, doğrulayıcı (authenticator) içinde güvenli bir şekilde tutulan ve kimlik bilgisine bağlı olan gizli bir anahtarı ve Bağlı Taraf (Relying Party) tarafından sağlanan bir veya daha fazla girdi değerini alarak deterministik, kriptografik olarak rastgele görünen bir çıktı üretir. Genellikle 32 baytlık bir dize olan bu çıktı, daha sonra istemci tarafı uygulama tarafından, en önemlisi WebAuthn şifrelemesi veya anahtar türetme için simetrik anahtar materyali olarak kullanılabilir.

Birçok doğrulayıcı, özellikle FIDO2 güvenlik anahtarları, İstemciden Doğrulayıcıya Protokolü'nde (CTAP2) tanımlanan ve hmac-secret eklentisi olarak adlandırılan temel bir yeteneği uygular. Bu CTAP2 eklentisi, sözde rastgele fonksiyon olarak hizmet veren donanım destekli bir HMAC (Hash tabanlı Mesaj Doğrulama Kodu) fonksiyonuna erişim sağlar. WebAuthn PRF eklentisi, web uygulamalarının bu hmac-secret yeteneğine tarayıcının WebAuthn API'si aracılığıyla erişmesi için standartlaştırılmış bir yol görevi görür.

Bir web sitesinin doğrulayıcıyı kandırarak web dışı amaçlar (yerel işletim sistemi girişi gibi) için tasarlanmış HMAC'ler üretmesini önlemek amacıyla, WebAuthn spesifikasyonu önemli bir adımı zorunlu kılar: web sitesi tarafından sağlanan girdiler (birinci ve ikinci salt'lar), temel hmac-secret fonksiyonuna geçirilmeden önce belirli bir bağlam dizesiyle ("WebAuthn PRF" ve bir boş bayt) hash'lenir. Bu, PRF'nin girdi alanını etkili bir şekilde bölümlere ayırarak, web'den türetilen çıktıların diğer bağlamlarda potansiyel olarak kullanılanlardan farklı olmasını sağlar.

Doğrulayıcıya bağlı anahtarlar türetme yeteneği, geliştiriciler için birçok ilgi çekici kullanım alanı sunar:

1. İstemci Taraflı / Uçtan Uca Şifreleme (E2EE): Bu, WebAuthn PRF eklentisinin temel motivasyon kaynağıdır. Tarayıcı tabanlı uygulamalar, giriş sırasında kimlik bilgisi başına benzersiz bir şifreleme anahtarı türetebilir. Bu anahtar daha sonra WebCrypto API ile kullanılarak yerel olarak veya sunucuda depolanan kullanıcı verilerini şifrelemek için kullanılabilir. Veriler bekleme durumunda şifreli kalır ve yalnızca kullanıcı belirli bir Passkey ile başarılı bir şekilde kimlik doğruladıktan sonra şifresi çözülebilir, bu da gizliliği ve veri güvenliğini artırır. Hizmet sağlayıcılar, kullanıcı verilerini düz metne hiçbir zaman erişimi olmadan saklayabilir. Bu, özellikle şifresiz dünyadaki uygulamalar için yararlıdır, çünkü PRF eklentisi olmadan, ek olarak şifre şeklinde bir sır talep etmeleri gerekirdi ki bu da şifresiz mimariyle çelişir.

2. Şifresiz Kasa Şifresi Çözme: Parola yöneticileri (ör. Bitwarden, 1Password) veya güvenli not uygulamaları (ör. Notesnook, Reflect) gibi hizmetler, geleneksel ana şifrenin yerini almak için PRF'yi kullanabilir. Kullanıcı Passkey'i ile kimlik doğrular, PRF eklentisi kasa şifre çözme anahtarını türetir ve kasa açılır - ana şifreye gerek kalmaz. Bitwarden bunun için destek sunacağını duyurdu. Ayrıca, Dashlane yakın zamanda WebAuthn PRF eklentisini benimsedi ve kimlik avı direncini güçlendirerek şifreli kasalara erişim güvenliğini artırdı. Kullanıcılar Passkey'lerini kullanarak kimlik doğrular, bu da PRF'nin kasa şifre çözme anahtarlarını güvenli bir şekilde türetmesine olanak tanır ve ana şifre ihtiyacını tamamen ortadan kaldırır.

3. Güvenli Anahtar Döndürme: WebAuthn PRF eklentisi, kimlik doğrulama sırasında iki girdi "salt"ı (birinci ve ikinci) sağlamaya olanak tanır. Bu, kriptografik anahtar döndürme şemalarını kolaylaştırır. Bir sunucu, birinciyi kullanarak "mevcut" anahtarı ve ikinciyi kullanarak "sonraki" anahtarı talep edebilir. Zamanla sunucu, hangi salt'ın mevcut anahtara karşılık geldiğini güncelleyerek kullanıcı deneyimini bozmadan sorunsuz bir döndürme sağlayabilir. Bu, özellikle yasal gereklilikler veya iç politikalar tüm anahtarların belirli bir program dahilinde döndürülmesini gerektirdiğinde önemlidir ve güvenliği artırır.

4. Kimlik Cüzdanları ve Gözetimsiz Sistemler: PRF, dijital cüzdanlar içindeki kimlik verilerini güvence altına almak için anahtarlar türetebilir veya özel anahtarların sunucu tarafında asla ifşa edilmediği gözetimsiz sistemleri etkinleştirebilir.

Spesifikasyon tanımlanmış olsa da, asıl tarayıcı ve platform desteği geliştiriciler için kritik faktördür. Destek gelişmektedir ve yakın zamana kadar öncelikle Chromium tabanlı tarayıcılarla sınırlıydı. Desteği takip etmek zor olabilir çünkü CanIUse.com'da PRF eklentisinin kendisine adanmış bir giriş yoktur ("webauthn" araması genel API desteğini gösterir, ancak belirli eklentileri göstermez). Bilgiler genellikle tarayıcı sürüm notlarından, hata izleyicilerinden ve durum sayfalarından toplanmalıdır. WebAuthn PRF eklentisini başarılı bir şekilde kullanmak, teknoloji yığınının üç farklı katmanında koordineli bir çaba gerektirir. Özelliğin çalışması için her seviyede PRF eklentisi desteğinin mevcut olması gerekir:

1. Doğrulayıcı: Bu, kimlik bilgisinin gizli anahtarını güvenli bir şekilde saklayan ve gerçek sözde rastgele fonksiyon hesaplamasını (genellikle CTAP2 hmac-secret yeteneğini kullanarak) gerçekleştiren donanım (bir güvenlik anahtarı gibi) veya platform bileşenidir (Windows Hello, iCloud Keychain ve ilgili donanım modülü, ör. TPM veya Secure Enclave). Doğrulayıcı bu temel kriptografik yeteneğe sahip değilse, PRF çalışamaz.

2. İşletim Sistemi (OS): İşletim sistemi, tarayıcı ile doğrulayıcı arasında köprü görevi görür. Tarayıcının doğrulayıcıları (özellikle platform doğrulayıcıları ve USB/NFC/Bluetooth üzerinden bağlananları) keşfetmesi, iletişim kurması ve onlardan işlem talep etmesi için gerekli sürücüleri ve sistem düzeyinde API'leri sağlar. İşletim sisteminin, doğrulayıcının PRF (hmac-secret) yeteneğini tanıyıp tarayıcıya sunabilmesi gerekir. İşletim sistemi bu yolu sağlamazsa, tarayıcı özelliğe erişemez.

3. Tarayıcı: Web uygulamasının arayüzü olarak tarayıcı, WebAuthn JavaScript API'sini uygulamalı, özellikle prf eklentisini tanımalı, web isteğini işletim sistemi/doğrulayıcı için uygun komutlara çevirmeli, girdileri bağlam dizesiyle hash'leme gibi kritik güvenlik adımını yönetmeli ve sonuçları doğru bir şekilde ayrıştırıp uygulamaya döndürmelidir.

Bu üç katmandan herhangi birinde (Doğrulayıcı yeteneği, İşletim Sistemi sunumu veya Tarayıcı uygulaması) bir başarısızlık veya destek eksikliği, PRF eklentisinin çalışmasını engelleyecektir.

Bu sıra diyagramı, bu aktörlerin PRF desteğini kolaylaştırmak için nasıl birlikte çalıştığının basitleştirilmiş bir versiyonunu göstermektedir.

Çalışan bir PRF iş akışı, WebAuthn ↔ CTAP zincirindeki her katmanın işbirliği yapmasını gerektirir. Açıklık sağlamak için, tartışmayı (1) tarayıcı + işletim sistemi davranışı ve (2) doğrulayıcı davranışı olarak ayırıyoruz.

Geniş PRF desteğine giden yolculuk, web standartları eklentileriyle ilgili yaygın bir zorluğu vurgulamaktadır: uygulama genellikle aşamalıdır ve platforma özgü sorunların çözülmesi gerekir. Bu tabloyu güncel tutmayı hedefleyeceğiz, ancak PRF eklentisinin tüm uyumluluk zincirinin uyum sağlamasını gerektiren en son eklemelerden biri olduğunu ve bu nedenle sürekli ayarlamalar beklendiğini unutmayın.

Aşağıda, desteği işletim sistemine göre ayırıyoruz.

Windows'ta WebAuthn PRF eklentisi desteği sınırlıdır, çünkü yerel platform doğrulayıcısı (Windows Hello) şu anda gerekli hmac-secret yeteneğine sahip değildir. Bu nedenle PRF işlevselliği harici güvenlik anahtarlarına bağlıdır.

macOS 15 ile birlikte, platform doğrulayıcıları için PRF desteği geldi. Hem Safari hem de Chrome, iCloud Keychain aracılığıyla PRF'yi destekliyor. Firefox'un platform doğrulayıcısı desteği ise hala beklemede. Güvenlik Anahtarları yalnızca Chrome ile çalışıyor.

iOS ve iPadOS'taki durum, PRF'nin iCloud Keychain aracılığıyla çalışmasıyla macOS'u yansıtıyor. Ancak önemli uyarılar var: iOS 18'in ilk sürümlerindeki bir hata veri kaybına yol açabilir ve harici güvenlik anahtarları için destek henüz uygulanmadı.

Android şu anda WebAuthn PRF eklentisi için en sağlam ve yaygın desteği sunuyor. Google Password Manager'da saklanan Passkey'ler varsayılan olarak PRF desteği içerir ve Firefox hariç çoğu büyük tarayıcıda çalışır.

Yukarıdaki tabloda, birinci taraf Passkey sağlayıcısı desteği için en önemli kombinasyonları dahil ettik. Ancak, parola yöneticilerini üçüncü taraf Passkey sağlayıcıları olarak kullanırken, bunların özel yetenekleri ayrı olarak değerlendirilmelidir. Örneğin, 1Password Android sürümünde PRF'yi desteklerken iOS sürümünde desteklemez. Ayrıca Chrome Profili doğrulayıcı olarak prf'yi desteklemez. Doğrulayıcılar hakkında daha fazla ayrıntı için aşağıya bakın.

WebAuthn bir Bağlı Tarafın (Relying Party) ne isteyebileceğini belirtirken, İstemciden Doğrulayıcıya Protokolü (CTAP) doğrulayıcının nasıl davranması gerektiğini tanımlar. Pratikte, doğrulayıcılar dört kategoriye ayrılır:

1. PRF desteği yok: Eski platform doğrulayıcıları (ör. Windows Hello), hmac-secret eklentisi olmayan eski güvenlik anahtarları ve henüz prf eklentisini benimsememiş üçüncü taraf sağlayıcılar.

2. Yalnızca kimlik bilgisi oluşturulurken PRF bayrağı ayarlandıysa PRF desteği: Bazı CTAP 2.0/2.1 güvenlik anahtarları hmac-secret sunar, ancak Bağlı Taraf kimlik bilgisi ilk oluşturulduğunda sırları başlatmak için bunu talep etmedikçe PRF değerlendirmelerini reddeder.

3. Oluşturma sırasında talep edilmese bile kimlik doğrulama sırasında PRF mevcut: Yeni nesil donanım token'ları ve iCloud ile Google Password Manager, hmac-secret işlevselliğini koşulsuz olarak sunar; bayrak olmadan oluşturulan kimlik bilgileri navigator.credentials.get() sırasında PRF ile çalışır.

4. Tam CTAP 2.2 uyumluluğu (PRF + oluşturma sırasında ilk PRF değeri): Passkey'leri senkronize eden platform doğrulayıcıları—iCloud Keychain ve Google Password Manager gibi—talep üzerine, ilk PRF çıktısını zaten navigator.credentials.create() sırasında döndürebilir, bu da anahtar oluşturma akışlarını kolaylaştırır.

Yedekleme, taşıma veya anahtar oluşturma mantığı tasarlarken bir doğrulayıcının hangi kategoriye ait olduğunu bilmek çok önemlidir. Bu senaryolar için testleri demomuza da dahil ettik.

WebAuthn PRF eklentisini etkileşimli WebAuthn PRF demo uygulamamızı kullanarak doğrudan deneyimleyebilirsiniz. Bu demoda şunları yapabileceksiniz:

• PRF ile bir Passkey kaydedin ve doğrulayıcınızın bu güçlü eklentiyi destekleyip desteklemediğini onaylayın.
• Passkey'inizi kullanarak kimlik doğrulayın ve PRF tarafından oluşturulan kriptografik değeri çalışırken görün.

PRF değerini kendiniz görmek, güvenli, anahtar tabanlı işlemler için Passkey kullanmanın pratik sonuçlarını vurgular. PRF eklentisi için doğrulayıcı uyumluluğunu doğrudan doğrulamanıza ve PRF'den türetilen anahtarların şifreler olmadan WebAuthn uçtan uca şifrelemesini ve güvenli kasa şifre çözmeyi nasıl güçlendirdiğini gözlemlemenize olanak tanır.

Bir dakikanızı ayırıp demoyu deneyin; kendi ortamınızın PRF yeteneğini anlamak, kullanıcılarınıza özel güvenli, şifresiz deneyimler planlamanıza daha iyi yardımcı olur.

PRF'nin gücünü test etmeye hazır mısınız? Yukarıdaki resme tıklayın veya uygulamalı keşfinize başlamak için bu bağlantıyı takip edin.

WebAuthn PRF eklentisi, veri depolama veya türetme ile ilgili tek WebAuthn eklentisi değildir. Passkey PRF nasıl bir karşılaştırma sunuyor?

• PRF vs. credBlob / largeBlob:

  • credBlob: Kimlik bilgisiyle birlikte, muhtemelen oluşturma zamanında küçük (32 bayt) statik bir blob depolamaya izin verir. Öncelikle sırlar için tasarlanmamıştır ve destek, özellikle keşfedilemeyen kimlik bilgileri için sınırlıdır.

  • largeBlob: Keşfedilebilir kimlik bilgileriyle daha fazla veri (~1KB) depolamayı sağlar, genellikle sertifikalar gibi yardımcı veriler için tasarlanmıştır. Destek de sınırlıdır (iCloud Keychain tarafından iOS 17'den beri desteklenir, ancak GPM tarafından desteklenmez). Chrome geliştiricileri, gelecekte geliştirme yapılabilecek olsa da, çoğu kullanım durumu için largeBlob yerine PRF'ye odaklanmayı açıkça tercih ettiler.

  • PRF: Buna karşılık PRF, statik bir blob depolamak yerine, donanıma bağlı bir sır kullanarak kimlik doğrulama sırasında talep üzerine gizli anahtarlar türetmek için özel olarak tasarlanmıştır. Genellikle bir Passkey'e bağlı şifreleme anahtarları türetmek için en uygun ve güvenli standart mekanizma olarak kabul edilir. Sırlar için blob'ları tartışmaktan PRF'nin standardizasyonuna ve uygulama odağına geçiş, bu kullanım durumu için özel çözüm olarak PRF üzerinde bir yakınlaşma olduğunu göstermektedir.

• PRF vs. Şifre Türetilmiş Anahtarlar (ör. PBKDF2): Geleneksel olarak, istemci tarafı şifreleme anahtarları kullanıcı şifrelerinden türetilirdi. PRF önemli avantajlar sunar:

  • Daha Güçlü Kaynak: Anahtarlar, potansiyel olarak zayıf veya yeniden kullanılmış şifrelerden değil, doğrulayıcı içindeki güçlü kriptografik materyalden türetilir.

  • Kimlik Avına Karşı Direnç: Türetme, kimlik avına dayanıklı WebAuthn kimlik doğrulama akışına bağlıdır.

  • Şifresiz: Kasa şifresini çözme gibi kullanım durumlarını hiç şifre gerektirmeden mümkün kılar.

• PRF vs. Diğer WebAuthn Verileri: WebAuthn yanıtının diğer bölümlerinden (imza, authenticatorData veya açık anahtar gibi) anahtar türetmeye çalışmak temelden güvensiz ve yanlıştır. Bu bileşenler ya halka açıktır, gizli değildir ya da anahtar türetme için değil, doğrulama için tasarlanmıştır.

Doğrudan bir WebAuthn kimlik bilgisine veya Passkey'e bağlı kriptografik anahtar materyalini güvenli bir şekilde türetmek için, WebAuthn PRF eklentisi amaca yönelik oluşturulmuş ve önerilen standart yaklaşımdır.

PRF eklentisini uygulamanıza entegre ederken, bu pratik yönergeleri göz önünde bulundurun:

Aşağıdaki öneriler, geliştiricilerin mevcut PRF eklentisi desteği durumunu etkili bir şekilde yönetmelerine ve gelecekteki gelişmeler için plan yapmalarına yardımcı olur:

• PRF'yi Fırsatçı Bir Yaklaşımla Ele Alın: WebAuthn PRF eklentisi desteği şu anda tarayıcılar, işletim sistemleri ve doğrulayıcılar arasında önemli ölçüde farklılık göstermektedir. Bu nedenle, PRF entegrasyonunu temel bir bağımlılık yerine bir geliştirme olarak ele alın.

• PRF'ye Kritik Düzeyde Bağımlı Olmaktan Kaçının: PRF'yi görev açısından kritik işlevler için temel bir gereklilik haline getirmekten kaçının. Mevcut destek, özellikle macOS'ta Safari ve iOS gibi platformlarda tutarsız ve eksik kalmaktadır.

• Passkey Kaybı Senaryolarına Hazırlıklı Olun: PRF'den türetilen anahtarlarla şifrelenmiş verilerin yalnızca belirli bir Passkey'e bağlı olduğunu unutmayın. Passkey'i kaybetmek, şifrelenmiş verileri kalıcı olarak erişilemez hale getirecektir. Her zaman sağlam yedekleme ve kurtarma mekanizmaları uygulayın.

• 2026'ya Kadar Daha Geniş Destek Bekleyin: PRF eklentisi desteği hızla olgunlaşıyor. 2026'ya kadar, özellikle birinci taraf Passkey sağlayıcıları ile büyük tarayıcılarda, işletim sistemlerinde ve doğrulayıcılarda tutarlı bir kullanılabilirlik bekleyin.

• Windows Ekosistemini İzleyin: Windows Hello aracılığıyla platform doğrulayıcısı desteği şu anda mevcut değil. Windows ortamlarında tam PRF entegrasyonu, büyük ölçüde Microsoft'un benimseme stratejisine bağlıdır, bu nedenle bu ekosistemi yakından gözlemleyin.

Bu yönergeleri takip etmek, geliştiricilerin benimseme aşamasında uyumluluğu ve güvenliği korurken PRF'yi sorunsuz bir şekilde dahil etmelerini sağlar.

PRF'nin genel Passkey stratejinizle nasıl uyum sağladığını anlamak, gereksiz karmaşıklıklar olmadan faydalarını en üst düzeye çıkarmanıza yardımcı olur:

• Esnek Entegrasyon: Passkey oluşturma anında PRF'den yararlanıp yararlanmayacağınıza karar vermek gerekli değildir. Mevcut Passkey'ler daha sonra ek kimlik bilgisi yönetimi yükü olmadan PRF kullanım durumlarıyla sorunsuz bir şekilde entegre edilebilir.

• PRF'yi Sonradan Entegre Etme: PRF, kimlik doğrulama aşamasında (navigator.credentials.get()) çalıştığı için, daha önce oluşturulmuş Passkey'ler daha sonraki bir aşamada PRF tabanlı iş akışlarını destekleyebilir. Bu, uygulamanızın yerleşik kimlik doğrulama yöntemlerini bozmadan güvenliği artırmasına olanak tanır. Bu yaklaşım iCloud Keychain ve Google Password Manager (GPM) ve daha yeni güvenlik anahtarlarıyla çalışır. Eski güvenlik anahtarları için bir hmac-secret yalnızca kimlik bilgisi oluşturulurken talep edilirse oluşturulabilir.

• Passkey Karmaşıklığıyla İlgili Hususlar: Kimlik bilgisi senkronizasyonu, cihazlar arası kimlik doğrulama ve kurtarma süreçleri gibi Passkey yönetimine özgü karmaşıklıklar, PRF kullanırken de aynı şekilde geçerlidir. PRF uygulamanızın genel Passkey kimlik doğrulama stratejinizle uyumlu bir şekilde hizalandığından emin olun, böylece akıcı kullanıcı deneyimleri ve sağlam güvenlik kontrolleri korunur.

PRF'yi bütünsel bir Passkey stratejisinin bir parçası olarak düşünmek, daha güvenli ve kullanıcı dostu kimlik doğrulama uygulamalarına daha sorunsuz bir geçiş sağlar.

Hassas kullanıcı verilerini işleyen kurumsal hizmet sağlayıcıları için, WebAuthn PRF'yi Passkey'lerle birlikte kullanma yeteneği, özellikle Kişisel Tanımlayıcı Bilgilerin (PII) istemci tarafında şifrelenmesini gerektiren veya Uçtan Uca Şifreleme gerektiren uygulamaları güvence altına alma senaryolarında güvenlik ve kullanıcı deneyimini geliştirme olanakları sunar. Corbado Connect öncelikle sorunsuz kurumsal Passkey entegrasyonu için tasarlanmış olsa da, SPC veya PRF gibi Passkey eklentilerinin uygulanmasını da kolaylaştırabilir.

Corbado'nun PRF'yi entegre etmek isteyen kuruluşlara nasıl yardımcı olabileceği aşağıda açıklanmıştır:

• Şifreli Depolama için PRF'yi Kolaylaştırma: Kurumsal ortamlarda bazen hassas bilgileri güvenli bir şekilde, hatta bazen sunucu tarafındaki PII maruziyetini en aza indirmek için doğrudan istemci tarafında saklama gereksinimi vardır. Corbado Connect, Passkey kimlik doğrulama akışı (navigator.credentials.get()) sırasında PRF değerlerini talep edecek şekilde yapılandırılabilir, bu da uygulamaların gerekli kriptografik anahtarları türetmesini sağlar.
• Esnek Depolama Modelleri: PRF'den türetilen anahtarlar kullanılarak şifrelenen veriler, güvenlik gereksinimlerine ve mimariye bağlı olarak çeşitli şekillerde saklanabilir:
  • İstemci Tarafı: localStorage veya güvenli Çerezler gibi mekanizmalar kullanılarak doğrudan tarayıcıda saklanır. Düz metin verileri yalnızca şifre çözme sırasında istemcide geçici olarak bulunur.
  • Corbado Arka Ucu (E2EE): Corbado genellikle müşteri PII'sini saklamaktan kaçınsa da, PRF mekanizması teknik olarak istemci tarafında şifrelenmiş verilerin Corbado'nun sunucularında saklanmasına izin verir. Corbado bu verileri çözmek için anahtarlara sahip olmaz; şifre çözme yine başarılı kullanıcı kimlik doğrulamasından sonra istemci tarafında gerçekleşir.
  • Müşterinin Arka Ucu: Şifrelenmiş veriler, yine istemci tarafı şifrelemesinden yararlanarak kuruluşun kendi arka uç sistemlerine gönderilebilir ve orada saklanabilir.
• Güvenli Anahtar Türetme Akışı: Corbado Connect bileşenleri, WebAuthn API ile etkileşimi yönetir. PRF talep edildiğinde:
  1. Bireysel Passkey'e bağlı, kullanıcıya özgü bir PRF çıktısı doğrulayıcı tarafından oluşturulur.
  2. Bu çıktı, istemci tarafı uygulamasına güvenli bir şekilde döndürülür.
  3. Uygulama daha sonra PRF çıktısından sağlam bir simetrik şifreleme anahtarı türetmek için WebCrypto API aracılığıyla bir Anahtar Türetme Fonksiyonu (KDF) (ör. HKDF) kullanmalıdır.
  4. Bu simetrik anahtar, hedef bilgiyi (PII gibi) şifrelemek veya şifresini çözmek için WebCrypto (ör. AES-GCM) ile kullanılır.
• Sonraki Girişlerde Sorunsuz Şifre Çözme: Kullanıcı aynı Passkey'i kullanarak tekrar kimlik doğruladığında, Corbado Connect aynı PRF isteğini başlatır. Bu, aynı PRF çıktısını verir, bu da uygulamanın aynı simetrik anahtarı yeniden türetmesine ve daha önce saklanan bilgilerin şifresini istemci tarafında çözmesine olanak tanır.
• PRF Benimseme Zekası: PRF'yi uygulamak, kullanıcının ortamının (işletim sistemi, tarayıcı, doğrulayıcı) onu destekleyip desteklemediğini bilmeyi gerektirir. Corbado Connect, kimlik doğrulama sırasında kullanıcının cihazı ve yetenekleri hakkında sinyaller toplar. Bu zeka şu amaçlarla kullanılabilir:
  • PRF'ye bağlı özellikleri tam olarak etkinleştirmeden önce kullanıcı tabanında PRF hazırlığını belirlemek.
  • PRF'yi fırsatçı bir şekilde uygulamak, desteklenen kullanıcılar için bir geliştirme olarak sunarken, desteği olmayanlar için geri dönüş mekanizmalarını (yeniden doğrulama istemek veya alternatif yöntemler kullanmak gibi) sürdürmek.
• PII Kullanılabilirliğini Kolaylaştırma: Doğrulanmış PII'yi (ör. bir doğrulama akışı yoluyla elde edilen kimlik özellikleri) şifrelemek ve istemci tarafında saklamak için PRF kullanarak, uygulamalar bu verileri bir Passkey girişi sonrasında sonraki etkileşimler veya işlemler için hemen kullanılabilir hale getirebilir, bu da yeniden doğrulama veya uygulama tabanlı akışlara kıyasla sürtünmeyi önemli ölçüde azaltır.
• Özel E2EE Sistemlerini Etkinleştirme: Corbado Connect standart akışlar için kullanıcı arayüzü bileşenleri sunsa da, temel ilkeler geliştiricilerin PRF işlevselliğini hassas uygulamalara daha derinlemesine entegre etmelerine olanak tanır. Bu, ön uç uygulamasının mevcut veya yeni veriler üzerinde karmaşık kriptografik işlemler için doğrudan PRF'den türetilen anahtarlardan yararlandığı uçtan uca şifreli sistemler oluşturmayı mümkün kılar. Şimdilik bu hala sadece fırsatçı bir şekilde mümkün olacak ve geri dönüş mekanizmalarının bu bilgileri saklamak için farklı bir yol uygulaması gerekecektir.

Corbado, Passkey ve PRF entegrasyonunun karmaşıklıklarını basitleştirmeyi amaçlayarak, kuruluşların standartları güvenli ve etkili bir şekilde kullanmalarına, istemci tarafı PII şifrelemesi gibi özel kullanım durumlarına uyum sağlamalarına ve gelişen manzarada gezinmelerine olanak tanır.

WebAuthn PRF eklentisi, gerçekten şifresiz, uçtan uca şifreli uygulamaları pratik bir gerçeğe dönüştürmede önemli bir adımı işaret ediyor. Passkey'lerden yararlanarak kriptografik anahtarları güvenli bir şekilde türeterek, gizlilikten ödün vermeden sorunsuz ve güvenli bir kullanıcı deneyimi sunar.

Bu makalenin başında sorulan soruları doğrudan yanıtlayacak olursak:

• İlginç PRF kullanım alanları: PRF, uçtan uca şifreli veri depolama, parola yöneticileri için şifresiz kasa şifre çözme, güvenli kriptografik anahtar döndürme şemaları ve özel anahtarların istemci cihazlarından asla ayrılmamasını sağlayarak kullanıcı gizliliğini koruyan güvenli kimlik cüzdanları veya gözetimsiz sistemler gibi ilgi çekici kullanım durumları sağlar.

• PRF desteğinin mevcut durumu (Haziran 2025): Destek parçalı ve gelişmeye devam ediyor. Android tarayıcılar ve doğrulayıcılar arasında sağlam bir desteğe sahipken, macOS ve özellikle iOS gibi platformlar, özellikle ciddi bir hatayla CDA kaynağı olarak kullanıldığında, sallantılıdır. Windows desteği öncelikle harici güvenlik anahtarlarıyla sınırlıdır ve Windows Hello aracılığıyla yerel platform desteği dikkat çekici bir şekilde eksiktir.

Geliştiriciler, PRF eklentisini düşünürken hızlı bir iyileşme beklemeli, ancak mevcut sınırlamaları zarif bir şekilde ele alan dayanıklı uygulamalar oluşturarak dikkatli bir şekilde ilerlemelidir. Büyük platformlarda ve doğrulayıcı ekosistemlerinde daha geniş bir benimseme ortaya çıktıkça, PRF destekli şifresiz şifrelemenin geleceği parlak görünüyor ve web kimlik doğrulamasında gelişmiş gizlilik ve kullanılabilirlik vaat ediyor.