WebAuthn 凭证交换协议 (CXP) 与格式 (CXF)

Passkey (通行密钥) 正迅速成为在线身份验证的黄金标准——为传统密码提供了一种安全、抗钓鱼的替代方案。在 FIDO 联盟的支持下，Passkey 基于 WebAuthn 和 FIDO2 标准构建，并使用公钥加密技术来消除凭证被盗的风险。

但随着其普及速度加快，一个关键挑战也随之出现：我们该如何在不同提供商之间导入或导出 Passkey？比如，从 Bitwarden 迁移到 1Password，或者从苹果的 iCloud 钥匙串 迁移到 Google 密码管理器？

与密码不同，Passkey 没有可以轻松导出或导入的格式。这种互操作性的缺乏给用户带来了不便，也增加了厂商锁定的风险。

这时，两个新兴标准应运而生：

• 凭证交换协议 (Credential Exchange Protocol, CXP)：定义了一种在提供商之间安全传输 Passkey 的机制。

• 凭证交换格式 (Credential Exchange Format, CXF)：为凭证本身（如 Passkey、信用卡信息或 TOTP 码）定义了一种标准化的数据格式。

CXP 和 CXF 共同旨在使 Passkey 的可移植性不仅成为可能，而且安全、灵活且用户友好。在这篇博客中，我们将一起探讨以下几个问题：

1. 什么是凭证交换协议 (CXP)？它是如何工作的？

2. 什么是凭证交换格式 (CXF)？它是什么样的？

3. 凭证交换协议和凭证交换格式目前的开发状态如何？

随着越来越多的用户和组织采用 Passkey，一个关键挑战依然存在：在不同平台间迁移凭证。与密码不同，密码可以导出为简单的文本或 CSV 文件（尽管这可能不安全），但 Passkey 依赖的是加密密钥对。这使得导入/导出过程变得远为复杂和敏感。

以下是当前 Passkey 迁移中存在的问题：

• 无标准格式：与密码的 CSV 文件不同，Passkey 没有通用的表示方法。每个提供商的存储方式都不同。

• 不安全的传输：在一些罕见的尝试支持迁移的案例中，凭证以未加密的格式导出，造成了严重的安全风险（参见此 GitHub 讨论）。

• 迁移失败：没有一致的结构，在提供商之间迁移 Passkey 可能会失败，导致凭证丢失或迫使用户重新创建 Passkey。

• 被策略阻止：企业环境可能会因担心不安全的传输或兼容性问题而完全禁用凭证导出。

• 厂商锁定：如果没有可靠的导出 Passkey 的方法，用户就会被锁定在当前的提供商中——这损害了用户的自由和市场竞争。

这个问题并非假设，而是正在发生。当人们使用多个设备、浏览器和应用来管理 Passkey 时，从一个生态系统导入 Passkey 并导出 Passkey 到另一个生态系统的需求变得日益迫切。

正因如此，像 1Password、Dashlane、Bitwarden 和 NordPass 这样的主要参与者在 2023 年初联手，共同为一个解决方案构建原型。其成果就是：一项定义安全凭证交换开放标准的合作——凭证交换协议 (CXP) 和凭证交换格式 (CXF)。

为了应对 Passkey 迁移的挑战，两个互补的标准应运而生：凭证交换协议 (CXP) 和凭证交换格式 (CXF)。在包括苹果、谷歌、微软和 1Password 在内的行业领导者的支持下，这些规范旨在使导入和导出 Passkey 的过程变得安全、标准化且可互操作。

凭证交换协议 (CXP) 是一个规范，它定义了一种在两个凭证/Passkey 提供商之间传输凭证的安全方法。目前它处于 FIDO 联盟的工作草案 (Working Draft) 阶段，其设计仍在演进中，但其目标是建立一个标准化的安全渠道，用于从_发送方 (Sender)_ 导出凭证并将其导入_接收方 (Recipient)_。

虽然细节尚未最终确定，但该协议预计将使用混合公钥加密 (Hybrid Public Key Encryption, HPKE) 来确保凭证在传输过程中进行端到端加密。这个强大的加密基础将保护敏感数据不被拦截或篡改。

CXP 被认为对第三方提供商（如密码管理器）尤为重要，以促进不同平台（例如浏览器扩展程序之间）的凭证交换。在这些场景中，对标准化和高度安全的传输协议的需求至关重要。由于它仍处于早期草案阶段，其最终形式和标准化时间表尚不确定，预计可能在 2026 年初发布。

凭证交换格式 (CXF) 定义了凭证本身在交换时的结构。它目前处于审阅草案 (Review Draft) 状态，这意味着它已接近作为标准最终确定。

与处理安全传输的 CXP 不同，CXF 专注于数据格式本身。它为不同类型的凭证指定了一个标准的基于 JSON 的结构，确保从一个提供商导出的凭证能被另一个提供商正确理解。

CXF 定义了以下类型：

• Passkey (public-key-credential)
• 密码 (password)
• TOTP 密钥 (totp)
• 笔记 (note)

这个标准化的词汇表是实现互操作性的关键。例如，苹果和谷歌已经在使用 CXF 在同一设备上的原生应用之间传输凭证。由于传输在本地进行，因此不需要像 CXP 这样的专用传输协议。

通过标准化结构，CXF 消除了迁移过程中格式不匹配或部分数据丢失等问题。它还被设计为可扩展的，允许在未来版本中添加新的凭证类型，而不会破坏向后兼容性。

截至 2024 年底，凭证交换协议 (CXP) 和凭证交换格式 (CXF) 都已达到不同的成熟阶段，并获得了强大的行业支持。

CXP 和 CXF 的开发由 FIDO 联盟协调，并得到了苹果、谷歌、微软、1Password、Bitwarden 和 Dashlane 等主要参与者的积极贡献。

这种广泛的合作表明了业界共同致力于使 Passkey 可移植性成为现实。事实上，已有几家公司开始基于草案实施解决方案：

• 苹果和谷歌将使用 CXF 在同一设备上进行跨应用凭证传输。
• 第三方密码管理器正在基于 CXP 的早期草案构建原型，为安全的跨平台交换做准备。

这两个规范处于不同的时间线上：

• 凭证交换格式 (CXF) 处于审阅草案 (Review Draft) 阶段。预计将在 2024 年底前作为正式标准最终确定。
• 凭证交换协议 (CXP) 处于工作草案 (Working Draft) 阶段。其标准化之路更长，可能在 2026 年初发布，因为社区的反馈正在被整合，以确保其在跨平台用例中的稳健性和安全性。

规范草案已在 FIDO 联盟网站上公开发布，并积极鼓励开发者提供反馈，以便在最终确定前对其进行完善。

为了支持早期的实验和实施规划，Passkey 生态系统现在包括：

• Passkeys Debugger：一个帮助以易于理解的方式调试 WebAuthn 请求的平台。

• Passkey Community：一个由软件开发者和产品经理组成的社区，讨论与 Passkey 相关的问题。

• Passkey Subreddit：专门讨论 Passkey 和 WebAuthn 相关新闻的 subreddit，包括关于 CXP 和 CXF 的讨论。

• passkeys.eu：供开发者验证 WebAuthn 流程和 Passkey 行为的测试工具。

• CXP GitHub 草案：完整的协议消息结构和加密流程。

• CXF GitHub 草案：ZIP 文件布局和凭证打包格式。

尽管尚未完全标准化，但 CXP 和 CXF 显然正走在成为 Passkey 拼图中最后一块缺失部分的轨道上——为用户和组织实现安全、无缝的导入/导出。

凭证交换协议 (CXP) 和凭证交换格式 (CXF) 的诞生是为了使 Passkey 的导入和导出变得安全和无缝。但它们的潜力远不止于此。

这些标准为在提供商之间安全、可靠地跨平台传输任何敏感凭证建立了蓝图。这为身份、认证乃至政府颁发的凭证等更广泛的用例打开了大门。

当前 Passkey 普及面临的最大担忧之一就是厂商锁定。如果没有安全迁移凭证的方法，用户往往会被束缚在最初的提供商那里——即使他们的需求发生了变化。

有了 CXP 和 CXF，我们正在迈向一个真正可互操作的 Passkey 生态系统，用户和企业可以：

• 在提供商之间自由迁移 Passkey

• 避免重复创建凭证

• 简化设备和平台的过渡

这直接支持了消费者的选择权，促进了竞争，并增强了对 Passkey 模式的信任。

正如谷歌身份与安全部门的产品经理 Christiaan Brand 所说：

“未来，这可能适用于移动驾照、护照——任何你想导出到某处并导入到另一个系统中的机密信息。”

想象一下，通过同一个标准化的交换机制安全地传输：

• Passkey (public-key-credential)

• TOTP 密钥 (totp)

• 支付信息 (credit-card)

• 政府 ID (identity-document)

这就是 CXP 和 CXF 正在帮助塑造的未来。

随着加密的、可验证凭证交换成为常态，组织将最终能够淘汰不安全的 CSV 导出方式，避免易出错的手动流程，并为所有凭证处理强制执行加密优先的策略。

无论是在消费领域、企业 IT 还是公共部门的身份系统中，这一转变都提升了默认的安全基线——而无需牺牲可用性。

凭证交换协议 (CXP) 和凭证交换格式 (CXF) 代表了 Passkey 生态系统的一次关键演进。通过解决凭证迁移中长期存在的空白，它们为在不同平台和提供商之间导入和导出 Passkey 提供了一个安全、标准化的框架。CXF 标准化了“内容”（数据格式），而 CXP 标准化了“方式”（安全传输），它们共同为实现真正的 Passkey 可移植性铺平了道路。

在行业领导者的广泛支持和 FIDO 社区日益增长的势头下，这些规范有望消除 Passkey 普及的最后几个主要障碍之一：可移植性。

对于今天正在构建基于 Passkey 的系统的开发者和组织来说，紧跟 CXP 和 CXF 的发展不仅仅是为了面向未来——更是为了实现更好的用户体验、更强的安全性以及更大的灵活性。

在 Corbado，我们正密切关注这些发展，并帮助企业大规模实施 Passkey——没有厂商锁定、用户迁移的烦恼或安全妥协。随着生态系统的成熟，我们将率先支持基于 CXP/CXF 的流程，使安全的凭证交换成为现实。

Passkey 已经到来。CXP 和 CXF 将助其无处不在。