वेब क्रिप्टोग्राफी एपीआई: Difference between revisions
(Created page with "{{Short description|World Wide Web Consortium cryptography standard}} वेब क्रिप्टोग्राफी एपीआई एक निम्न-स्त...") |
No edit summary |
||
| (6 intermediate revisions by 3 users not shown) | |||
| Line 1: | Line 1: | ||
{{Short description|World Wide Web Consortium cryptography standard}} | {{Short description|World Wide Web Consortium cryptography standard}} | ||
वेब [[क्रिप्टोग्राफी]] एपीआई | '''वेब [[क्रिप्टोग्राफी]] एपीआई''' निम्न-स्तरीय इंटरफ़ेस के लिए [[ विश्वव्यापी वेब संकाय |वर्ल्ड वाइड वेब]] कंसोर्टियम (डब्ल्यू3सी) का अनुरोध है जो कच्चे कुंजीयन सामग्री तक पहुंचने के बिना क्रिप्टोग्राफी करने की अनुमति देकर [[वेब अनुप्रयोग|वेब एप्लिकेशन]] की सुरक्षा बढ़ाएगी।<ref name="cryptomathic-W3c">{{cite web|last1=Turner|first1=Dawn M.|title=W3C's Suggestion for a Web Cryptography API|url=https://www.cryptomathic.com/news-events/blog/w3cs-suggestion-for-a-web-cryptography-api|publisher=Cryptomathic|accessdate=9 May 2017}}</ref> यह अज्ञेयवादी [[एपीआई]] मूलभूत क्रिप्टोग्राफ़िक संचालन करेगा, जैसे कि [[क्रिप्टोग्राफ़िक हैश फ़ंक्शन]], डिजिटल हस्ताक्षर, सत्यापन और [[ कूटलेखन |एन्क्रिप्शन]] के साथ-साथ वेब एप्लिकेशन के भीतर से [[डिक्रिप्शन]] है।<ref name="W3C">{{cite web|editor-last1=Watson|editor-first1=Mark |title=Web Cryptography API W3C Proposed Recommendation 15 December 2016|url=https://www.w3.org/TR/2016/PR-WebCryptoAPI-20161215/|publisher=W3C|accessdate=23 May 2017}}</ref> | ||
== विवरण == | |||
26 जनवरी 2017 को, वर्ल्ड वाइड वेब कंसोर्टियम ने वेब क्रिप्टोग्राफी एपीआई के लिए अपना अनुरोध प्रारंभ किया था,<ref name="W3C-Web-Cryptography">{{cite web|editor-last1=Watson|editor-first1=Mark |title=Web Cryptography API W3C Recommendation 26 January 2017|url=https://www.w3.org/TR/2017/REC-WebCryptoAPI-20170126/|publisher=W3C|accessdate=3 July 2018}}</ref> जो वेब एप्लिकेशन में मूलभूत क्रिप्टोग्राफ़िक संचालन कर सकता है। यह अज्ञेयवादी एपीआई संचालन करने के लिए [[जावास्क्रिप्ट]] का उपयोग करेगा जो वेब एप्लिकेशन के भीतर डेटा विनिमय की सुरक्षा बढ़ाएगा। एपीआई क्रिप्टोग्राफ़िक हैश फ़ंक्शन, डिजिटल हस्ताक्षर पीढ़ी, सत्यापन और वेब एप्लिकेशन के साथ उपयोग के लिए एन्क्रिप्शन और डिक्रिप्शन के लिए [[सार्वजनिक कुंजी]] और निजी कुंजी बनाने या प्रबंधित करने के लिए निम्न-स्तरीय इंटरफ़ेस प्रदान करेगा। | |||
वेब क्रिप्टोग्राफी एपीआई का उपयोग कई प्रकार के उपयोगों के लिए किया जा सकता है, जिनमें सम्मिलित हैं: | |||
वेब क्रिप्टोग्राफी एपीआई का | * उपयोगकर्ताओं और सेवाओं के लिए [[प्रमाणीकरण]] प्रदान करना। | ||
* दस्तावेजों या कोड के [[इलेक्ट्रॉनिक हस्ताक्षर]]। | |||
* संचार और [[डिजिटल डेटा एक्सचेंज|डिजिटल डेटा विनिमय]] की [[अखंडता]] और [[गोपनीयता]] की रक्षा करना। | |||
क्योंकि वेब क्रिप्टोग्राफी एपीआई प्रकृति में अज्ञेयवादी है, इसका उपयोग किसी भी [[ कंप्यूटिंग प्लेटफार्म |कंप्यूटिंग प्लेटफार्म]] पर किया जा सकता है। यह [[इंटरफ़ेस (कंप्यूटिंग)]] का सामान्य सेट प्रदान करेगा जो वेब अनुप्रयोगों और [[प्रगतिशील वेब अनुप्रयोग|प्रगतिशील वेब अनुप्रयोगों]] को कच्चे कुंजीयन सामग्री तक पहुंचने की आवश्यकता के बिना क्रिप्टोग्राफ़िक कार्यों का संचालन करने की अनुमति देगा। यह SubtleCrypto इंटरफ़ेस की सहायता से किया जाएगा, जो उपरोक्त क्रिप्टोग्राफ़िक संचालन करने के लिए विधियों के समूह को परिभाषित करता है। वेब क्रिप्टोग्राफी एपीआई के भीतर अतिरिक्त इंटरफेस कुंजी पीढ़ी, कुंजी व्युत्पत्ति और कुंजी आयात और निर्यात की अनुमति देगा।<ref name="cryptomathic-W3c" /> | |||
== वेब क्रिप्टोग्राफी एपीआई का उपयोग करने का विजन == | |||
वेब क्रिप्टोग्राफी एपीआई के लिए W3C का विनिर्देश सामान्य कार्यक्षमता और सुविधाओं पर ध्यान केंद्रित करता है जो वर्तमान में प्लेटफ़ॉर्म-विशिष्ट और मानकीकृत क्रिप्टोग्राफ़िक एपीआई के मध्य उपस्थित हैं, जो कि केवल कुछ कार्यान्वयन के लिए जाने जाते हैं। वेब क्रिप्टोग्राफी एपीआई के उपयोग के लिए समूह का अनुरोध यह निर्धारित नहीं करता है कि एल्गोरिदम का अनिवार्य सेट प्रारंभ किया जाना चाहिए। ऐसा इस जागरूकता के कारण है कि प्रत्यायोजित नियम, स्थानीय [[नीति]], नियम के सुरक्षा अभ्यास और [[बौद्धिक संपदा|बौद्धिक गुण]] संबंधी विचारों के कारण अनुरूप उपयोगकर्ता एजेंटों के मध्य क्रिप्टोग्राफ़िक कार्यान्वयन भिन्न-भिन्न होंगे। | |||
कई प्रकार के उपस्थित वेब एप्लिकेशन हैं जिनके साथ वेब क्रिप्टोग्राफी एपीआई उपयोग के लिए उपयुक्त होगा।<ref name="cryptomathic-W3c" /> | |||
[[बहु-कारक प्रमाणीकरण|'''बहु-कारक प्रमाणीकरण''']] | |||
वेब | आज ऑनलाइन बैंकिंग जैसे वेब एप्लिकेशन के उपयोगकर्ता की पहचान सत्यापित करने के लिए बहु-कारक प्रमाणीकरण को सबसे विश्वसनीय विधियों में से माना जाता है। कई वेब एप्लिकेशन वर्तमान में उपयोगकर्ता और उपयोगकर्ता एजेंट दोनों की सुरक्षा के लिए इस प्रमाणीकरण पद्धति पर निर्भर हैं। वेब क्रिप्टोग्राफी एपीआई के साथ, वेब एप्लिकेशन में उपयोगकर्ता पहुंच को प्रमाणित करने के लिए गुप्त कुंजीयन सामग्री के लिए ट्रांसपोर्ट-लेयर प्रमाणीकरण पर निर्भर होने के अतिरिक्त स्वयं के भीतर से प्रमाणीकरण प्रदान करने की क्षमता होगी। यह प्रक्रिया उपयोगकर्ता को उत्तम अनुभव प्रदान करेगी। | ||
वेब क्रिप्टोग्राफी एपीआई एप्लिकेशन को उपयुक्त क्लाइंट कुंजियों को ज्ञात करने की अनुमति देगा जो पूर्व उपयोगकर्ता एजेंट द्वारा बनाई गई थीं या वेब एप्लिकेशन द्वारा पूर्व-प्रावधानित की गई थीं। एप्लिकेशन उपयोगकर्ता एजेंट को या तो नई कुंजी उत्पन्न करने या किसी उपस्थित कुंजी का पुन: उपयोग करने की क्षमता देने में सक्षम होगा, यदि उपयोगकर्ता के निकट पूर्व से ही उनके खाते से जुड़ी कोई कुंजी नहीं है। इस प्रक्रिया को [[ परिवहन परत सुरक्षा |परिवहन परत सुरक्षा]] से जोड़कर, जिसके माध्यम से उपयोगकर्ता प्रमाणीकरण कर रहा है, अंतर्निहित ट्रांसपोर्ट पर आधारित कुंजी की व्युत्पत्ति द्वारा बहु-कारक प्रमाणीकरण प्रक्रिया को अतिरिक्त रूप से स्थिर किया जा सकता है।<ref name="cryptomathic-W3c" /><ref name="W3C" /> | |||
'''संरक्षित दस्तावेज़ विनिमय''' | |||
एपीआई का उपयोग संवेदनशील या गोपनीय दस्तावेजों को वेब एप्लिकेशन के भीतर अनधिकृत रूप से देखने से बचाने के लिए किया जा सकता है, भले ही वे पूर्व सुरक्षित रूप से प्राप्त किए गए हों। वेब एप्लिकेशन गुप्त कुंजी के साथ दस्तावेज़ को एन्क्रिप्ट करने के लिए वेब क्रिप्टोग्राफी एपीआई का उपयोग करेगा और फिर इसे सार्वजनिक कुंजी के साथ कवर कर लेंगा जो उन उपयोगकर्ताओं के साथ जुड़ा हुआ है जो दस्तावेज़ को देखने के लिए अधिकृत हैं। वेब एप्लिकेशन पर नेविगेट करने पर, अधिकृत उपयोगकर्ता को वह दस्तावेज़ प्राप्त होगा जो एन्क्रिप्ट किया गया था और उसे अनरैपिंग प्रक्रिया प्रारंभ करने के लिए अपनी निजी कुंजी का उपयोग करने का निर्देश दिया जाएगा जो उन्हें दस्तावेज़ को डिक्रिप्ट करने और देखने की अनुमति देगा।<ref name="W3C" /> | |||
[[ घन संग्रहण | '''घन संग्रहण''']] | |||
कई व्यवसाय और व्यक्ति क्लाउड स्टोरेज पर निर्भर हैं। सुरक्षा के लिए, दूरस्थ सेवा प्रदाता संभवतः चाहते हैं कि उनका वेब एप्लिकेशन उपयोगकर्ताओं को अपने दस्तावेज़ या अन्य डेटा अपलोड करने से पूर्व अपने गोपनीय दस्तावेज़ों को सुरक्षित रखने की क्षमता दे। वेब क्रिप्टोग्राफी एपीआई उपयोगकर्ताओं को इसकी अनुमति देगा: | |||
* निजी या गुप्त कुंजी का चयन करना। | |||
* यदि वे चाहें तो उनकी कुंजी से एन्क्रिप्शन कुंजी प्राप्त करें। | |||
* उनके दस्तावेज़/डेटा को एन्क्रिप्ट करें। | |||
* सेवा प्रदाता के उपस्थित एपीआई का उपयोग करके उनके एन्क्रिप्टेड दस्तावेज़/डेटा अपलोड करें।<ref name="W3C" /> | |||
'''इलेक्ट्रॉनिक दस्तावेज़ पर हस्ताक्षर''' | |||
दस्तावेज़ों पर इलेक्ट्रॉनिक रूप से हस्ताक्षर करने की क्षमता समय बचाती है, महत्वपूर्ण दस्तावेज़ों की सुरक्षा बढ़ाती है और उपयोगकर्ता द्वारा दस्तावेज़ की स्वीकृति के नियमी प्रमाण के रूप में कार्य कर सकती है। कई वेब एप्लिकेशन लिखित हस्ताक्षर की आवश्यकता के अतिरिक्त इलेक्ट्रॉनिक हस्ताक्षर स्वीकार करने का चयन करते हैं। वेब क्रिप्टोग्राफी एपीआई के साथ, उपयोगकर्ता को कुंजी का चयन करने के लिए प्रेरित किया जाएगा जिसे विशेष रूप से वेब एप्लिकेशन के लिए उत्पन्न या पूर्व-प्रावधान किया जा सकता है। कुंजी का उपयोग हस्ताक्षर कार्य के समय किया जा सकता है। | |||
दस्तावेज़ों पर इलेक्ट्रॉनिक रूप से हस्ताक्षर करने की क्षमता समय बचाती है, महत्वपूर्ण दस्तावेज़ों की सुरक्षा बढ़ाती है और उपयोगकर्ता द्वारा दस्तावेज़ की स्वीकृति के | |||
===डेटा अखंडता की रक्षा करना=== | ===डेटा अखंडता की रक्षा करना=== | ||
वेब एप्लिकेशन | वेब एप्लिकेशन प्रायः डेटा को स्थानीय रूप से कैश करते हैं, जिससे ऑफ़लाइन अटैक होने पर डेटा के साथ निराकरण होने का भय रहता है। वेब क्रिप्टोग्राफी एपीआई वेब एप्लिकेशन को डेटा कैश की डेटा अखंडता को सत्यापित करने के लिए अपने भीतर से नियुक्त सार्वजनिक कुंजी का उपयोग करने की अनुमति देता है।<ref name="W3C" /> | ||
'''सुरक्षित [[मैसेजिंग]]''' | |||
वेब क्रिप्टोग्राफी एपीआई कुंजी निराकरण के उपयोग के माध्यम से [[ऑफ-द-रिकॉर्ड मैसेजिंग]] (ओटीआर) और अन्य प्रकार की संदेश-हस्ताक्षर योजनाओं में उपयोग के लिए मैसेजिंग की सुरक्षा को बढ़ा सकती है। संदेश भेजने वाला और इच्छित प्राप्तकर्ता अनधिकृत पहुंच का अवरोध करने के लिए संदेशों को एन्क्रिप्ट और डिक्रिप्ट करने के लिए भागित एन्क्रिप्शन और संदेश प्रमाणीकरण कोड (मैक) कुंजी पर सम्बन्ध स्थापित करेंगे।<ref name="W3C" /> | |||
वेब क्रिप्टोग्राफी एपीआई कुंजी | |||
'''जेसन ऑब्जेक्ट साइनिंग और एन्क्रिप्शन (JOSE)''' | |||
वेब क्रिप्टोग्राफी एपीआई का उपयोग वेब अनुप्रयोगों द्वारा जोस वर्किंग समूह के अंतर्गत परिभाषित संदेश प्रारूपों और संरचनाओं के साथ सम्बन्ध स्थापित करने के लिए किया जा सकता है।<ref name="IETF working group">{{cite web|last1=JOSE Working Group|title=जावास्क्रिप्ट ऑब्जेक्ट साइनिंग और एन्क्रिप्शन (जोस)|url=https://datatracker.ietf.org/wg/jose/about/|publisher=IETF|accessdate=16 March 2017}}</ref> एप्लिकेशन [[JSON वेब हस्ताक्षर|जेसन वेब हस्ताक्षर]] (JWK) कुंजियों को पढ़ और आयात कर सकता है, इलेक्ट्रॉनिक हस्ताक्षर या मैक एड्रेस कुंजियों के माध्यम से संरक्षित संदेशों को मान्य कर सकता है और जेडब्लूई संदेशों को डिक्रिप्ट कर सकता है। | |||
वेब क्रिप्टोग्राफी एपीआई का उपयोग वेब अनुप्रयोगों द्वारा जोस वर्किंग | |||
==वेब क्रिप्टोग्राफी एपीआई के अनुरूप== | ==वेब क्रिप्टोग्राफी एपीआई के अनुरूप== | ||
W3C अनुशंसा करता है कि विक्रेता वेब क्रिप्टोग्राफी एपीआई के विनिर्देशों के साथ विक्रेता-विशिष्ट स्वामित्व एक्सटेंशन का उपयोग करने से बचें। ऐसा इसलिए है क्योंकि यह एपीआई की अंतरसंचालनीयता को कम कर सकता है और उपयोगकर्ता आधार को | W3C अनुशंसा करता है कि विक्रेता वेब क्रिप्टोग्राफी एपीआई के विनिर्देशों के साथ विक्रेता-विशिष्ट स्वामित्व एक्सटेंशन का उपयोग करने से बचें। ऐसा इसलिए है क्योंकि यह एपीआई की अंतरसंचालनीयता को कम कर सकता है और उपयोगकर्ता आधार को विभक्त कर सकता है क्योंकि सभी उपयोगकर्ता विशेष सामग्री तक नहीं पहुंच पाएंगे। यह अनुशंसा की जाती है कि जब किसी विक्रेता-विशिष्ट एक्सटेंशन में देरी नहीं की जा सकती है, तो विक्रेता को एपीआई विनिर्देशों की भविष्य की पीढ़ियों के साथ विखंडन का अवरोध करने के लिए इसे विक्रेता-विशिष्ट स्ट्रिंग के साथ उपसर्ग करना चाहिए। | ||
== संदर्भ == | == संदर्भ == | ||
{{Reflist}} | {{Reflist}} | ||
| Line 69: | Line 63: | ||
* {{official|https://www.w3.org/TR/WebCryptoAPI/}} | * {{official|https://www.w3.org/TR/WebCryptoAPI/}} | ||
* [https://developer.mozilla.org/en-US/docs/Web/API/Web_Crypto_API Web Crypto API] on [[MDN Web Docs]] | * [https://developer.mozilla.org/en-US/docs/Web/API/Web_Crypto_API Web Crypto API] on [[MDN Web Docs]] | ||
[[Category:Created On 07/07/2023]] | [[Category:Created On 07/07/2023]] | ||
[[Category:Lua-based templates]] | |||
[[Category:Machine Translated Page]] | |||
[[Category:Official website not in Wikidata]] | |||
[[Category:Pages with script errors]] | |||
[[Category:Templates Vigyan Ready]] | |||
[[Category:Templates that add a tracking category]] | |||
[[Category:Templates that generate short descriptions]] | |||
[[Category:Templates using TemplateData]] | |||
[[Category:XML-आधारित मानक]] | |||
[[Category:क्रिप्टोग्राफी मानक]] | |||
[[Category:वर्ल्ड वाइड वेब कंसोर्टियम मानक]] | |||
Latest revision as of 17:08, 28 July 2023
वेब क्रिप्टोग्राफी एपीआई निम्न-स्तरीय इंटरफ़ेस के लिए वर्ल्ड वाइड वेब कंसोर्टियम (डब्ल्यू3सी) का अनुरोध है जो कच्चे कुंजीयन सामग्री तक पहुंचने के बिना क्रिप्टोग्राफी करने की अनुमति देकर वेब एप्लिकेशन की सुरक्षा बढ़ाएगी।[1] यह अज्ञेयवादी एपीआई मूलभूत क्रिप्टोग्राफ़िक संचालन करेगा, जैसे कि क्रिप्टोग्राफ़िक हैश फ़ंक्शन, डिजिटल हस्ताक्षर, सत्यापन और एन्क्रिप्शन के साथ-साथ वेब एप्लिकेशन के भीतर से डिक्रिप्शन है।[2]
विवरण
26 जनवरी 2017 को, वर्ल्ड वाइड वेब कंसोर्टियम ने वेब क्रिप्टोग्राफी एपीआई के लिए अपना अनुरोध प्रारंभ किया था,[3] जो वेब एप्लिकेशन में मूलभूत क्रिप्टोग्राफ़िक संचालन कर सकता है। यह अज्ञेयवादी एपीआई संचालन करने के लिए जावास्क्रिप्ट का उपयोग करेगा जो वेब एप्लिकेशन के भीतर डेटा विनिमय की सुरक्षा बढ़ाएगा। एपीआई क्रिप्टोग्राफ़िक हैश फ़ंक्शन, डिजिटल हस्ताक्षर पीढ़ी, सत्यापन और वेब एप्लिकेशन के साथ उपयोग के लिए एन्क्रिप्शन और डिक्रिप्शन के लिए सार्वजनिक कुंजी और निजी कुंजी बनाने या प्रबंधित करने के लिए निम्न-स्तरीय इंटरफ़ेस प्रदान करेगा।
वेब क्रिप्टोग्राफी एपीआई का उपयोग कई प्रकार के उपयोगों के लिए किया जा सकता है, जिनमें सम्मिलित हैं:
- उपयोगकर्ताओं और सेवाओं के लिए प्रमाणीकरण प्रदान करना।
- दस्तावेजों या कोड के इलेक्ट्रॉनिक हस्ताक्षर।
- संचार और डिजिटल डेटा विनिमय की अखंडता और गोपनीयता की रक्षा करना।
क्योंकि वेब क्रिप्टोग्राफी एपीआई प्रकृति में अज्ञेयवादी है, इसका उपयोग किसी भी कंप्यूटिंग प्लेटफार्म पर किया जा सकता है। यह इंटरफ़ेस (कंप्यूटिंग) का सामान्य सेट प्रदान करेगा जो वेब अनुप्रयोगों और प्रगतिशील वेब अनुप्रयोगों को कच्चे कुंजीयन सामग्री तक पहुंचने की आवश्यकता के बिना क्रिप्टोग्राफ़िक कार्यों का संचालन करने की अनुमति देगा। यह SubtleCrypto इंटरफ़ेस की सहायता से किया जाएगा, जो उपरोक्त क्रिप्टोग्राफ़िक संचालन करने के लिए विधियों के समूह को परिभाषित करता है। वेब क्रिप्टोग्राफी एपीआई के भीतर अतिरिक्त इंटरफेस कुंजी पीढ़ी, कुंजी व्युत्पत्ति और कुंजी आयात और निर्यात की अनुमति देगा।[1]
वेब क्रिप्टोग्राफी एपीआई का उपयोग करने का विजन
वेब क्रिप्टोग्राफी एपीआई के लिए W3C का विनिर्देश सामान्य कार्यक्षमता और सुविधाओं पर ध्यान केंद्रित करता है जो वर्तमान में प्लेटफ़ॉर्म-विशिष्ट और मानकीकृत क्रिप्टोग्राफ़िक एपीआई के मध्य उपस्थित हैं, जो कि केवल कुछ कार्यान्वयन के लिए जाने जाते हैं। वेब क्रिप्टोग्राफी एपीआई के उपयोग के लिए समूह का अनुरोध यह निर्धारित नहीं करता है कि एल्गोरिदम का अनिवार्य सेट प्रारंभ किया जाना चाहिए। ऐसा इस जागरूकता के कारण है कि प्रत्यायोजित नियम, स्थानीय नीति, नियम के सुरक्षा अभ्यास और बौद्धिक गुण संबंधी विचारों के कारण अनुरूप उपयोगकर्ता एजेंटों के मध्य क्रिप्टोग्राफ़िक कार्यान्वयन भिन्न-भिन्न होंगे।
कई प्रकार के उपस्थित वेब एप्लिकेशन हैं जिनके साथ वेब क्रिप्टोग्राफी एपीआई उपयोग के लिए उपयुक्त होगा।[1]
आज ऑनलाइन बैंकिंग जैसे वेब एप्लिकेशन के उपयोगकर्ता की पहचान सत्यापित करने के लिए बहु-कारक प्रमाणीकरण को सबसे विश्वसनीय विधियों में से माना जाता है। कई वेब एप्लिकेशन वर्तमान में उपयोगकर्ता और उपयोगकर्ता एजेंट दोनों की सुरक्षा के लिए इस प्रमाणीकरण पद्धति पर निर्भर हैं। वेब क्रिप्टोग्राफी एपीआई के साथ, वेब एप्लिकेशन में उपयोगकर्ता पहुंच को प्रमाणित करने के लिए गुप्त कुंजीयन सामग्री के लिए ट्रांसपोर्ट-लेयर प्रमाणीकरण पर निर्भर होने के अतिरिक्त स्वयं के भीतर से प्रमाणीकरण प्रदान करने की क्षमता होगी। यह प्रक्रिया उपयोगकर्ता को उत्तम अनुभव प्रदान करेगी।
वेब क्रिप्टोग्राफी एपीआई एप्लिकेशन को उपयुक्त क्लाइंट कुंजियों को ज्ञात करने की अनुमति देगा जो पूर्व उपयोगकर्ता एजेंट द्वारा बनाई गई थीं या वेब एप्लिकेशन द्वारा पूर्व-प्रावधानित की गई थीं। एप्लिकेशन उपयोगकर्ता एजेंट को या तो नई कुंजी उत्पन्न करने या किसी उपस्थित कुंजी का पुन: उपयोग करने की क्षमता देने में सक्षम होगा, यदि उपयोगकर्ता के निकट पूर्व से ही उनके खाते से जुड़ी कोई कुंजी नहीं है। इस प्रक्रिया को परिवहन परत सुरक्षा से जोड़कर, जिसके माध्यम से उपयोगकर्ता प्रमाणीकरण कर रहा है, अंतर्निहित ट्रांसपोर्ट पर आधारित कुंजी की व्युत्पत्ति द्वारा बहु-कारक प्रमाणीकरण प्रक्रिया को अतिरिक्त रूप से स्थिर किया जा सकता है।[1][2]
संरक्षित दस्तावेज़ विनिमय
एपीआई का उपयोग संवेदनशील या गोपनीय दस्तावेजों को वेब एप्लिकेशन के भीतर अनधिकृत रूप से देखने से बचाने के लिए किया जा सकता है, भले ही वे पूर्व सुरक्षित रूप से प्राप्त किए गए हों। वेब एप्लिकेशन गुप्त कुंजी के साथ दस्तावेज़ को एन्क्रिप्ट करने के लिए वेब क्रिप्टोग्राफी एपीआई का उपयोग करेगा और फिर इसे सार्वजनिक कुंजी के साथ कवर कर लेंगा जो उन उपयोगकर्ताओं के साथ जुड़ा हुआ है जो दस्तावेज़ को देखने के लिए अधिकृत हैं। वेब एप्लिकेशन पर नेविगेट करने पर, अधिकृत उपयोगकर्ता को वह दस्तावेज़ प्राप्त होगा जो एन्क्रिप्ट किया गया था और उसे अनरैपिंग प्रक्रिया प्रारंभ करने के लिए अपनी निजी कुंजी का उपयोग करने का निर्देश दिया जाएगा जो उन्हें दस्तावेज़ को डिक्रिप्ट करने और देखने की अनुमति देगा।[2]
कई व्यवसाय और व्यक्ति क्लाउड स्टोरेज पर निर्भर हैं। सुरक्षा के लिए, दूरस्थ सेवा प्रदाता संभवतः चाहते हैं कि उनका वेब एप्लिकेशन उपयोगकर्ताओं को अपने दस्तावेज़ या अन्य डेटा अपलोड करने से पूर्व अपने गोपनीय दस्तावेज़ों को सुरक्षित रखने की क्षमता दे। वेब क्रिप्टोग्राफी एपीआई उपयोगकर्ताओं को इसकी अनुमति देगा:
- निजी या गुप्त कुंजी का चयन करना।
- यदि वे चाहें तो उनकी कुंजी से एन्क्रिप्शन कुंजी प्राप्त करें।
- उनके दस्तावेज़/डेटा को एन्क्रिप्ट करें।
- सेवा प्रदाता के उपस्थित एपीआई का उपयोग करके उनके एन्क्रिप्टेड दस्तावेज़/डेटा अपलोड करें।[2]
इलेक्ट्रॉनिक दस्तावेज़ पर हस्ताक्षर
दस्तावेज़ों पर इलेक्ट्रॉनिक रूप से हस्ताक्षर करने की क्षमता समय बचाती है, महत्वपूर्ण दस्तावेज़ों की सुरक्षा बढ़ाती है और उपयोगकर्ता द्वारा दस्तावेज़ की स्वीकृति के नियमी प्रमाण के रूप में कार्य कर सकती है। कई वेब एप्लिकेशन लिखित हस्ताक्षर की आवश्यकता के अतिरिक्त इलेक्ट्रॉनिक हस्ताक्षर स्वीकार करने का चयन करते हैं। वेब क्रिप्टोग्राफी एपीआई के साथ, उपयोगकर्ता को कुंजी का चयन करने के लिए प्रेरित किया जाएगा जिसे विशेष रूप से वेब एप्लिकेशन के लिए उत्पन्न या पूर्व-प्रावधान किया जा सकता है। कुंजी का उपयोग हस्ताक्षर कार्य के समय किया जा सकता है।
डेटा अखंडता की रक्षा करना
वेब एप्लिकेशन प्रायः डेटा को स्थानीय रूप से कैश करते हैं, जिससे ऑफ़लाइन अटैक होने पर डेटा के साथ निराकरण होने का भय रहता है। वेब क्रिप्टोग्राफी एपीआई वेब एप्लिकेशन को डेटा कैश की डेटा अखंडता को सत्यापित करने के लिए अपने भीतर से नियुक्त सार्वजनिक कुंजी का उपयोग करने की अनुमति देता है।[2]
सुरक्षित मैसेजिंग
वेब क्रिप्टोग्राफी एपीआई कुंजी निराकरण के उपयोग के माध्यम से ऑफ-द-रिकॉर्ड मैसेजिंग (ओटीआर) और अन्य प्रकार की संदेश-हस्ताक्षर योजनाओं में उपयोग के लिए मैसेजिंग की सुरक्षा को बढ़ा सकती है। संदेश भेजने वाला और इच्छित प्राप्तकर्ता अनधिकृत पहुंच का अवरोध करने के लिए संदेशों को एन्क्रिप्ट और डिक्रिप्ट करने के लिए भागित एन्क्रिप्शन और संदेश प्रमाणीकरण कोड (मैक) कुंजी पर सम्बन्ध स्थापित करेंगे।[2]
जेसन ऑब्जेक्ट साइनिंग और एन्क्रिप्शन (JOSE)
वेब क्रिप्टोग्राफी एपीआई का उपयोग वेब अनुप्रयोगों द्वारा जोस वर्किंग समूह के अंतर्गत परिभाषित संदेश प्रारूपों और संरचनाओं के साथ सम्बन्ध स्थापित करने के लिए किया जा सकता है।[4] एप्लिकेशन जेसन वेब हस्ताक्षर (JWK) कुंजियों को पढ़ और आयात कर सकता है, इलेक्ट्रॉनिक हस्ताक्षर या मैक एड्रेस कुंजियों के माध्यम से संरक्षित संदेशों को मान्य कर सकता है और जेडब्लूई संदेशों को डिक्रिप्ट कर सकता है।
वेब क्रिप्टोग्राफी एपीआई के अनुरूप
W3C अनुशंसा करता है कि विक्रेता वेब क्रिप्टोग्राफी एपीआई के विनिर्देशों के साथ विक्रेता-विशिष्ट स्वामित्व एक्सटेंशन का उपयोग करने से बचें। ऐसा इसलिए है क्योंकि यह एपीआई की अंतरसंचालनीयता को कम कर सकता है और उपयोगकर्ता आधार को विभक्त कर सकता है क्योंकि सभी उपयोगकर्ता विशेष सामग्री तक नहीं पहुंच पाएंगे। यह अनुशंसा की जाती है कि जब किसी विक्रेता-विशिष्ट एक्सटेंशन में देरी नहीं की जा सकती है, तो विक्रेता को एपीआई विनिर्देशों की भविष्य की पीढ़ियों के साथ विखंडन का अवरोध करने के लिए इसे विक्रेता-विशिष्ट स्ट्रिंग के साथ उपसर्ग करना चाहिए।
संदर्भ
- ↑ 1.0 1.1 1.2 1.3 Turner, Dawn M. "W3C's Suggestion for a Web Cryptography API". Cryptomathic. Retrieved 9 May 2017.
- ↑ 2.0 2.1 2.2 2.3 2.4 2.5 Watson, Mark (ed.). "Web Cryptography API W3C Proposed Recommendation 15 December 2016". W3C. Retrieved 23 May 2017.
- ↑ Watson, Mark (ed.). "Web Cryptography API W3C Recommendation 26 January 2017". W3C. Retrieved 3 July 2018.
- ↑ JOSE Working Group. "जावास्क्रिप्ट ऑब्जेक्ट साइनिंग और एन्क्रिप्शन (जोस)". IETF. Retrieved 16 March 2017.
