SRP بک پروتکل امن برای تبادل کلید و اهراز هویت برمبنای رمزعبور است. این پروتکل مشکل اهراز هویت بین سرور و کلاینت ها در حالتی که کلاینت ها باید یک رمز عبور کوچک را به خود حمل کند و سرور ها نیز به ازای هر کاربر باید یک تصدیق کننده داشته باشند تا بتواند کار اهراز هویت را به گونه ای که هیچ مهاجمی توانایی فریب کاری در سیستم را نداشته باشد، حل کرده است. علاوه بر آن SRP به عنوان محصول یک اهراز هویت موفقیت آمیز، یک کلید -از لحاظ رمزنگاری قدرتمند- را بین طرفین رابطه ردو بدل می کند تا پس از اهراز هویت بتوانند با یکدیگر تبادل اطلاعات داشته باشند.
خیلی از روش های اهراز هویت با رمزعبور ادعا کرده اند که مشکل مشابه را مرتفع کرده اند و روش های جدیدتری نیز در حال ابداع هستند. ولی یک پروتکل امن پروتکلی نیست که تنها سعی کرده باشد تا رمز عبور را به صورت رمز شده در کانال منتقل کند، بلکه چنین پروتکلی باید در شرایط زیر نیز از امنیت کامل برخوردار باشد:
- مهاجمین تسلط کامل به پروتکل دارند.
- مهاجمین به بانک بزرگی از رمزعبور های متداول دسترسی دارند.
- مهاجمین توانایی شنود روی تمام پیام های ردوبدل شده بین طرفین را دارند.
- مهاجمین توانایی تداخل و تغییر در پیام ها و یا جعل پیام های اختیاری بین طرفین را دارند.
- هیچ شخص امینی در بین وجود ندارد.
ایده اصلی SRP برای اولین بار در سال 1996 در USENET مطرح شد و بلافاصله در سال 1997 پروتکلی برای ارائه این خاصیت های امنیتی طراحی شد. کار پیاده سازی این پروژه (تحت عنوان SRP-3 ) تا به امروز ادامه دارد. پیاده سازی این نسخه از سال 1998 پس از اینکه در بین کاربران اینترنتی و گروه های رمزنگاری مطرح شد آغاز شد و تاکنون از زیر ذره بین تحلیل گران با دقت سربلند بیرون آمده است. با پیشرفت تکنولوژی نسخه ی SRP-6 نیز طراحی شد. این نسخه بر مبنای SRP-3 ساخته شد، اما دارای ویژگی هایی است که باعث بالا رفتن انعطاف پذیری آن و سهولت در به کارگیری آن در سیستم های دیگر شده است. جزئیات بیشتر از [1] قابل دسترسی هستند.
SRP هم اکنون برای کاربران تجاری و غیرتجاری به صورت رایگان قابل استفاده است. اینترنت نقش بسیار مهمی در تکمیل این پروژه تا به امروز ایفا کرده است، چرا که بدون آن SRP نمیتوانست در همه جا رسوخ پیدا کرده و مورد تحلیل و اشکال یابی موشکافانه قرار گیرد. در نهایت اینترنت از ثمرات این پروژه بهره مند شده است و خواهد شد و کاربران را قادر خواهد ساخت تا در سطح وسیع به شکلی کاملا امن و قدرتمند اهراز هویت انجام دهند.
منابع:
[1] “The Stanford SRP Authentication Project”, http://srp.stanford.edu