वेब क्रिप्टोग्राफी एपीआई

वेब क्रिप्टोग्राफी एपीआई निम्न-स्तरीय इंटरफ़ेस के लिए वर्ल्ड वाइड वेब कंसोर्टियम (डब्ल्यू3सी) का अनुरोध है जो कच्चे कुंजीयन सामग्री तक पहुंचने के बिना क्रिप्टोग्राफी करने की अनुमति देकर वेब एप्लिकेशन की सुरक्षा बढ़ाएगी। यह अज्ञेयवादी एपीआई मूलभूत क्रिप्टोग्राफ़िक संचालन करेगा, जैसे कि क्रिप्टोग्राफ़िक हैश फ़ंक्शन, डिजिटल हस्ताक्षर, सत्यापन और एन्क्रिप्शन के साथ-साथ वेब एप्लिकेशन के भीतर से डिक्रिप्शन है।

विवरण
26 जनवरी 2017 को, वर्ल्ड वाइड वेब कंसोर्टियम ने वेब क्रिप्टोग्राफी एपीआई के लिए अपना अनुरोध प्रारंभ किया था, जो वेब एप्लिकेशन में मूलभूत क्रिप्टोग्राफ़िक संचालन कर सकता है। यह अज्ञेयवादी एपीआई संचालन करने के लिए जावास्क्रिप्ट का उपयोग करेगा जो वेब एप्लिकेशन के भीतर डेटा विनिमय की सुरक्षा बढ़ाएगा। एपीआई क्रिप्टोग्राफ़िक हैश फ़ंक्शन, डिजिटल हस्ताक्षर पीढ़ी, सत्यापन और वेब एप्लिकेशन के साथ उपयोग के लिए एन्क्रिप्शन और डिक्रिप्शन के लिए सार्वजनिक कुंजी और निजी कुंजी बनाने या प्रबंधित करने के लिए निम्न-स्तरीय इंटरफ़ेस प्रदान करेगा।

वेब क्रिप्टोग्राफी एपीआई का उपयोग कई प्रकार के उपयोगों के लिए किया जा सकता है, जिनमें सम्मिलित हैं:

क्योंकि वेब क्रिप्टोग्राफी एपीआई प्रकृति में अज्ञेयवादी है, इसका उपयोग किसी भी कंप्यूटिंग प्लेटफार्म पर किया जा सकता है। यह इंटरफ़ेस (कंप्यूटिंग) का सामान्य सेट प्रदान करेगा जो वेब अनुप्रयोगों और प्रगतिशील वेब अनुप्रयोगों को कच्चे कुंजीयन सामग्री तक पहुंचने की आवश्यकता के बिना क्रिप्टोग्राफ़िक कार्यों का संचालन करने की अनुमति देगा। यह SubtleCrypto इंटरफ़ेस की सहायता से किया जाएगा, जो उपरोक्त क्रिप्टोग्राफ़िक संचालन करने के लिए विधियों के समूह को परिभाषित करता है। वेब क्रिप्टोग्राफी एपीआई के भीतर अतिरिक्त इंटरफेस कुंजी पीढ़ी, कुंजी व्युत्पत्ति और कुंजी आयात और निर्यात की अनुमति देगा।
 * उपयोगकर्ताओं और सेवाओं के लिए प्रमाणीकरण प्रदान करना।
 * दस्तावेजों या कोड के इलेक्ट्रॉनिक हस्ताक्षर।
 * संचार और डिजिटल डेटा विनिमय की अखंडता और गोपनीयता की रक्षा करना।

वेब क्रिप्टोग्राफी एपीआई का उपयोग करने का विजन
वेब क्रिप्टोग्राफी एपीआई के लिए W3C का विनिर्देश सामान्य कार्यक्षमता और सुविधाओं पर ध्यान केंद्रित करता है जो वर्तमान में प्लेटफ़ॉर्म-विशिष्ट और मानकीकृत क्रिप्टोग्राफ़िक एपीआई के मध्य उपस्थित हैं, जो कि केवल कुछ कार्यान्वयन के लिए जाने जाते हैं। वेब क्रिप्टोग्राफी एपीआई के उपयोग के लिए समूह का अनुरोध यह निर्धारित नहीं करता है कि एल्गोरिदम का अनिवार्य सेट प्रारंभ किया जाना चाहिए। ऐसा इस जागरूकता के कारण है कि प्रत्यायोजित नियम, स्थानीय नीति, नियम के सुरक्षा अभ्यास और बौद्धिक गुण संबंधी विचारों के कारण अनुरूप उपयोगकर्ता एजेंटों के मध्य क्रिप्टोग्राफ़िक कार्यान्वयन भिन्न-भिन्न होंगे।

कई प्रकार के उपस्थित वेब एप्लिकेशन हैं जिनके साथ वेब क्रिप्टोग्राफी एपीआई उपयोग के लिए उपयुक्त होगा।

बहु-कारक प्रमाणीकरण

आज ऑनलाइन बैंकिंग जैसे वेब एप्लिकेशन के उपयोगकर्ता की पहचान सत्यापित करने के लिए बहु-कारक प्रमाणीकरण को सबसे विश्वसनीय विधियों में से माना जाता है। कई वेब एप्लिकेशन वर्तमान में उपयोगकर्ता और उपयोगकर्ता एजेंट दोनों की सुरक्षा के लिए इस प्रमाणीकरण पद्धति पर निर्भर हैं। वेब क्रिप्टोग्राफी एपीआई के साथ, वेब एप्लिकेशन में उपयोगकर्ता पहुंच को प्रमाणित करने के लिए गुप्त कुंजीयन सामग्री के लिए ट्रांसपोर्ट-लेयर प्रमाणीकरण पर निर्भर होने के अतिरिक्त स्वयं के भीतर से प्रमाणीकरण प्रदान करने की क्षमता होगी। यह प्रक्रिया उपयोगकर्ता को उत्तम अनुभव प्रदान करेगी।

वेब क्रिप्टोग्राफी एपीआई एप्लिकेशन को उपयुक्त क्लाइंट कुंजियों को ज्ञात करने की अनुमति देगा जो पूर्व उपयोगकर्ता एजेंट द्वारा बनाई गई थीं या वेब एप्लिकेशन द्वारा पूर्व-प्रावधानित की गई थीं। एप्लिकेशन उपयोगकर्ता एजेंट को या तो नई कुंजी उत्पन्न करने या किसी उपस्थित कुंजी का पुन: उपयोग करने की क्षमता देने में सक्षम होगा, यदि उपयोगकर्ता के निकट पूर्व से ही उनके खाते से जुड़ी कोई कुंजी नहीं है। इस प्रक्रिया को परिवहन परत सुरक्षा से जोड़कर, जिसके माध्यम से उपयोगकर्ता प्रमाणीकरण कर रहा है, अंतर्निहित ट्रांसपोर्ट पर आधारित कुंजी की व्युत्पत्ति द्वारा बहु-कारक प्रमाणीकरण प्रक्रिया को अतिरिक्त रूप से स्थिर किया जा सकता है।

संरक्षित दस्तावेज़ विनिमय

एपीआई का उपयोग संवेदनशील या गोपनीय दस्तावेजों को वेब एप्लिकेशन के भीतर अनधिकृत रूप से देखने से बचाने के लिए किया जा सकता है, भले ही वे पूर्व सुरक्षित रूप से प्राप्त किए गए हों। वेब एप्लिकेशन गुप्त कुंजी के साथ दस्तावेज़ को एन्क्रिप्ट करने के लिए वेब क्रिप्टोग्राफी एपीआई का उपयोग करेगा और फिर इसे सार्वजनिक कुंजी के साथ कवर कर लेंगा जो उन उपयोगकर्ताओं के साथ जुड़ा हुआ है जो दस्तावेज़ को देखने के लिए अधिकृत हैं। वेब एप्लिकेशन पर नेविगेट करने पर, अधिकृत उपयोगकर्ता को वह दस्तावेज़ प्राप्त होगा जो एन्क्रिप्ट किया गया था और उसे अनरैपिंग प्रक्रिया प्रारंभ करने के लिए अपनी निजी कुंजी का उपयोग करने का निर्देश दिया जाएगा जो उन्हें दस्तावेज़ को डिक्रिप्ट करने और देखने की अनुमति देगा।

घन संग्रहण

कई व्यवसाय और व्यक्ति क्लाउड स्टोरेज पर निर्भर हैं। सुरक्षा के लिए, दूरस्थ सेवा प्रदाता संभवतः चाहते हैं कि उनका वेब एप्लिकेशन उपयोगकर्ताओं को अपने दस्तावेज़ या अन्य डेटा अपलोड करने से पूर्व अपने गोपनीय दस्तावेज़ों को सुरक्षित रखने की क्षमता दे। वेब क्रिप्टोग्राफी एपीआई उपयोगकर्ताओं को इसकी अनुमति देगा:


 * निजी या गुप्त कुंजी का चयन करना।
 * यदि वे चाहें तो उनकी कुंजी से एन्क्रिप्शन कुंजी प्राप्त करें।
 * उनके दस्तावेज़/डेटा को एन्क्रिप्ट करें।
 * सेवा प्रदाता के उपस्थित एपीआई का उपयोग करके उनके एन्क्रिप्टेड दस्तावेज़/डेटा अपलोड करें।

इलेक्ट्रॉनिक दस्तावेज़ पर हस्ताक्षर

दस्तावेज़ों पर इलेक्ट्रॉनिक रूप से हस्ताक्षर करने की क्षमता समय बचाती है, महत्वपूर्ण दस्तावेज़ों की सुरक्षा बढ़ाती है और उपयोगकर्ता द्वारा दस्तावेज़ की स्वीकृति के नियमी प्रमाण के रूप में कार्य कर सकती है। कई वेब एप्लिकेशन लिखित हस्ताक्षर की आवश्यकता के अतिरिक्त इलेक्ट्रॉनिक हस्ताक्षर स्वीकार करने का चयन करते हैं। वेब क्रिप्टोग्राफी एपीआई के साथ, उपयोगकर्ता को कुंजी का चयन करने के लिए प्रेरित किया जाएगा जिसे विशेष रूप से वेब एप्लिकेशन के लिए उत्पन्न या पूर्व-प्रावधान किया जा सकता है। कुंजी का उपयोग हस्ताक्षर कार्य के समय किया जा सकता है।

डेटा अखंडता की रक्षा करना
वेब एप्लिकेशन प्रायः डेटा को स्थानीय रूप से कैश करते हैं, जिससे ऑफ़लाइन अटैक होने पर डेटा के साथ निराकरण होने का भय रहता है। वेब क्रिप्टोग्राफी एपीआई वेब एप्लिकेशन को डेटा कैश की डेटा अखंडता को सत्यापित करने के लिए अपने भीतर से नियुक्त सार्वजनिक कुंजी का उपयोग करने की अनुमति देता है।

सुरक्षित मैसेजिंग

वेब क्रिप्टोग्राफी एपीआई कुंजी निराकरण के उपयोग के माध्यम से ऑफ-द-रिकॉर्ड मैसेजिंग (ओटीआर) और अन्य प्रकार की संदेश-हस्ताक्षर योजनाओं में उपयोग के लिए मैसेजिंग की सुरक्षा को बढ़ा सकती है। संदेश भेजने वाला और इच्छित प्राप्तकर्ता अनधिकृत पहुंच का अवरोध करने के लिए संदेशों को एन्क्रिप्ट और डिक्रिप्ट करने के लिए भागित एन्क्रिप्शन और संदेश प्रमाणीकरण कोड (मैक) कुंजी पर सम्बन्ध स्थापित करेंगे।

जेसन ऑब्जेक्ट साइनिंग और एन्क्रिप्शन (JOSE)

वेब क्रिप्टोग्राफी एपीआई का उपयोग वेब अनुप्रयोगों द्वारा जोस वर्किंग समूह के अंतर्गत परिभाषित संदेश प्रारूपों और संरचनाओं के साथ सम्बन्ध स्थापित करने के लिए किया जा सकता है। एप्लिकेशन जेसन वेब हस्ताक्षर (JWK) कुंजियों को पढ़ और आयात कर सकता है, इलेक्ट्रॉनिक हस्ताक्षर या मैक एड्रेस कुंजियों के माध्यम से संरक्षित संदेशों को मान्य कर सकता है और जेडब्लूई संदेशों को डिक्रिप्ट कर सकता है।

वेब क्रिप्टोग्राफी एपीआई के अनुरूप
W3C अनुशंसा करता है कि विक्रेता वेब क्रिप्टोग्राफी एपीआई के विनिर्देशों के साथ विक्रेता-विशिष्ट स्वामित्व एक्सटेंशन का उपयोग करने से बचें। ऐसा इसलिए है क्योंकि यह एपीआई की अंतरसंचालनीयता को कम कर सकता है और उपयोगकर्ता आधार को विभक्त कर सकता है क्योंकि सभी उपयोगकर्ता विशेष सामग्री तक नहीं पहुंच पाएंगे। यह अनुशंसा की जाती है कि जब किसी विक्रेता-विशिष्ट एक्सटेंशन में देरी नहीं की जा सकती है, तो विक्रेता को एपीआई विनिर्देशों की भविष्य की पीढ़ियों के साथ विखंडन का अवरोध करने के लिए इसे विक्रेता-विशिष्ट स्ट्रिंग के साथ उपसर्ग करना चाहिए।

बाहरी संबंध

 * Web Crypto API on MDN Web Docs
 * Web Crypto API on MDN Web Docs