De mensheid verspilt vijfhonderd jaar per dag aan het oplossen van captcha's, zo claimt internetbedrijf Cloudflare, dat met fysieke beveiligingssleutels een oplossing wil gaan bieden. Critici zien de oplossing niet zitten. Websites en online diensten gebruiken captcha's (completely automated public Turing) om mensen van bots te onderscheiden.
Volgens Cloudflare duurt het gemiddeld 32 seconden voor een internetgebruiker om een captcha op te lossen. Er zijn 4,6 miljard internetgebruikers die naar schatting van Cloudflare elke tien dagen een captcha te zien krijgen. Aan de hand daarvan komt het bedrijf op vijfhonderd jaar per dag. Het internetbedrijf heeft een oplossing ontwikkeld waarbij internetgebruikers geen captcha meer moeten oplossen, maar een fysieke beveiligingssleutel gebruiken om aan te tonen dat ze mens zijn. Het gaat hier om dezelfde beveiligingssleutels die voor het beveiligen van accounts zijn te gebruiken.
Websites die aan het experiment van Cloudflare meedoen bieden gebruikers naast de traditionele captcha de optie "I am human (beta)". Via deze optie wordt de gebruiker om een fysieke beveiligingssleutel gevraagd. De gebruiker steekt de sleutel vervolgens in zijn computer of houdt die bij zijn telefoon, waarna een cryptografisch bewijs naar Cloudflare wordt gestuurd en de gebruiker heeft bewezen dat hij geen bot is. Dit proces neemt volgens het internetbedrijf vijf seconden in beslag.
Bij deze methode wordt volgens Cloudflare de privacy van gebruikers beschermd, omdat het cryptografische bewijs niet uniek voor het apparaat is. Elk Universal 2nd Factor (U2F) apparaat beschikt over een gedeeld 'attestation' key pair dat op minimaal 100.000 U2F-apparaten van dezelfde fabrikant aanwezig is. Dit moet het uniek identificeren van U2F-apparaten voorkomen (pdf).
Cloudflare vraagt gebruikers om te bewijzen dat ze over een public key beschikken die door een vertrouwde fabrikant gesigneerd is. Fabrikanten signeren de attestation public key met een digitaal certificaat. "Dus wanneer Cloudflare je om een digitale handtekening vraagt, verifieert het of je pubilc key is gesigneerd door de public key van een fabrikant", stelt het internetbedrijf.
Hierdoor moet Cloudflare nog steeds weten door welke fabrikant de beveiligingssleutel van de gebruiker is geproduceerd. Informatie waar het internetbedrijf vanwege privacyredenen naar eigen zeggen niet op zit te wachten. Om ook dit probleem te verhelpen maakt Cloudflare gebruik van Zero Knowledge proofs (ZK proof). Hierdoor zijn de beveiligingssleutels van de ene fabrikant niet meer van andere fabrikanten te onderscheiden. Informatie over deze toepassing verschijnt op een later moment.
Het experiment met "Cryptographic Attestation of Personhood" zal op beperkte schaal in Engelssprekende regio's beschikbaar zijn. Daarnaast worden op het moment alleen beveiligingssleutels die via usb of nfc werken ondersteund.
Critici zien de oplossing van Cloudflare niet zitten. Het opzetten van een geautomatiseerde aanval om de oplossing te omzeilen is eenvoudig. Daarnaast zou ook de privacy in het geding zijn. FIDO stelt dat er één batchcertificaat per 100.000 sleutels wordt gebruikt. Wanneer bekend is dat een gebruiker een beveiligingssleutel heeft en het batchcertificaat wordt op een website gezien, is er een kans van 1 op 100.000 dat het de betreffende gebruiker is.
Gecombineerd met andere informatie die websites verzamelen kan dit tegen gebruikers worden gebruikt. Verder worden beveiligingssleutels voor authenticatie gebruikt, maar is daar bij de oplossing van Cloudflare geen sprake van. "Het verifieert alleen het apparaatmodel", zegt Yuriy Ackermann.
Deze posting is gelocked. Reageren is niet meer mogelijk.