W świecie szybko rozwijających się technologii czasem bezpieczeństwo nie nadąża za funkcjonalnością. Przydają się wtedy standardowe, łatwe do wdrożenia rozwiązania. Właśnie powstala propozycja takiego standardu dla aplikacji www.
World Wide Web Consortium, organizacja zajmująca się ustanawianiem standardów pisania i przesyłu stron WWW, opublikowała kilka dni temu projekt nowego interfejsu programowania aplikacji (API), służącego do przeprowadzania podstawowych operacji kryptograficznych w aplikacjach www. Autorami wstępnej wersji standardu są pracownicy Google i Mozilli.
API w technologii JavaScript ma umożliwić przeprowadzanie takich operacji jak tworzenie hashy, tworzenie i weryfikacja podpisów, szyfrowanie czy odszyfrowywanie treści oraz zarządzanie kluczami kryptograficznymi. Opisane w dokumencie przypadki użycia obejmują takie zagadnienia jak uwierzytelnienie wieloczynnikowe, chroniona wymiana dokumentów, przechowywanie informacji w chmurze, podpisywanie dokumentów, ochrona integralności danych, bezpieczna wymiana wiadomości, podpisywanie i szyfrowanie obiektów JavaScript oraz wymiana kluczy przy użyciu alternatywnych kanałów komunikacji.
W założeniu API nie wymusza stosowania konkretnego algorytmu szyfrowania, by nie ograniczać możliwości rozwojowych technologii. W ramach próby zwiększenia kompatybilności wdrażanych rozwiązań, rekomenduje stosowanie 4 spośród 12 opisanych algorytmów: HMAC, RSASSA-PKCS1-v1_5, ECDSA oraz AES-CBC.
Powstanie standardu definiującego operacje kryptograficzne budzi nadzieję na podniesienie poziomu bezpieczeństwa aplikacji www w obszarze ochrony poufności i integralności treści. Programiści, dysponując standardowym interfejsem, mogą być bardziej skłonni stosować zdefiniowane w nim sprawdzone metody uwierzytelnienia i szyfrowania, znacząco utrudniając życie włamywaczom.
