1. ভূমিকা
পাসওয়ার্ড ম্যানেজার (PM) শক্তিশালী র্যান্ডম পাসওয়ার্ড তৈরি এবং সংরক্ষণের জন্য অপরিহার্য সরঞ্জাম, যা পাসওয়ার্ড প্রমাণীকরণের দুর্বলতাগুলি সমাধান করে। তবে, ব্যবহারকারীর আস্থা গ্রহণের ক্ষেত্রে একটি বাধা থেকে যায়। এই গবেষণাপত্রটি EasyCrypt প্রমাণ পরিবেশ ব্যবহার করে একটি র্যান্ডম পাসওয়ার্ড জেনারেটরের (RPG) জন্য একটি আনুষ্ঠানিকভাবে যাচাইকৃত রেফারেন্স বাস্তবায়ন প্রস্তাব করে, যা কার্যকরী সঠিকতা এবং নিরাপত্তা বৈশিষ্ট্যের উপর দৃষ্টি নিবদ্ধ করে।
2. বিষয়বস্তুর সারণী
- 1. ভূমিকা
- 2. বিষয়বস্তুর সারণী
- 3. বর্তমান পাসওয়ার্ড জেনারেশন অ্যালগরিদম
- 4. আনুষ্ঠানিক যাচাইকরণ কাঠামো
- 5. প্রযুক্তিগত বিবরণ এবং গাণিতিক সূত্রায়ন
- 6. পরীক্ষামূলক ফলাফল এবং চিত্র
- 7. বিশ্লেষণ কাঠামোর উদাহরণ
- 8. মূল বিশ্লেষণ
- 9. ভবিষ্যত প্রয়োগ এবং দৃষ্টিভঙ্গি
- 10. তথ্যসূত্র
3. বর্তমান পাসওয়ার্ড জেনারেশন অ্যালগরিদম
লেখকরা ১৫টি পিএম অধ্যয়ন করেছেন, তিনটি ব্যাপকভাবে ব্যবহৃত ওপেন-সোর্স পিএম-এর উপর দৃষ্টি নিবদ্ধ করে: গুগল ক্রোম (v89.0.4364.1), বিটওয়ার্ডেন (v1.47.1), এবং কিপাস (v2.46)। এগুলি তাদের জনপ্রিয়তা এবং সহজলভ্য সোর্স কোডের জন্য নির্বাচিত হয়েছিল।
3.1 পাসওয়ার্ড গঠন নীতি
পিএমগুলি ব্যবহারকারীদের পাসওয়ার্ড গঠন নীতি নির্ধারণ করতে দেয় যার মধ্যে রয়েছে দৈর্ঘ্য, অক্ষর শ্রেণী (ছোট হাতের অক্ষর, বড় হাতের অক্ষর, সংখ্যা, বিশেষ অক্ষর), প্রতি সেটে ন্যূনতম/সর্বোচ্চ উপস্থিতি, অনুরূপ অক্ষর বাদ দেওয়া এবং কাস্টম অক্ষর সেট। সারণী 1 ক্রোম, বিটওয়ার্ডেন এবং কিপাসের নীতিগুলি সংক্ষিপ্ত করে।
3.2 র্যান্ডম পাসওয়ার্ড জেনারেশন
মূল অ্যালগরিদম নির্ধারিত সেটগুলি থেকে র্যান্ডম অক্ষর তৈরি করে যতক্ষণ না পাসওয়ার্ডের দৈর্ঘ্য পূরণ হয়, ন্যূনতম/সর্বোচ্চ উপস্থিতির সীমাবদ্ধতা মেনে চলে। ক্রোমের অ্যালগরিদম প্রথমে ন্যূনতম উপস্থিতি সহ সেটগুলি থেকে অক্ষর তৈরি করে, তারপর সর্বোচ্চ সীমা অতিক্রম না করে সমস্ত সেটের ইউনিয়ন থেকে এবং অবশেষে স্ট্রিংটিতে একটি পারমুটেশন প্রয়োগ করে।
4. আনুষ্ঠানিক যাচাইকরণ কাঠামো
4.1 EasyCrypt এর সংক্ষিপ্ত বিবরণ
EasyCrypt একটি গেম-ভিত্তিক পদ্ধতি ব্যবহার করে ক্রিপ্টোগ্রাফিক নিরাপত্তা প্রমাণের জন্য একটি প্রমাণ সহায়ক। এটি রেফারেন্স বাস্তবায়নের স্পেসিফিকেশন এবং কার্যকরী সঠিকতা ও নিরাপত্তা বৈশিষ্ট্যের আনুষ্ঠানিক যাচাইকরণের অনুমতি দেয়।
4.2 নিরাপত্তা বৈশিষ্ট্য
আনুষ্ঠানিককরণে র্যান্ডমনেসের একরূপতা, সাইড-চ্যানেল আক্রমণের প্রতিরোধ এবং নীতি সীমাবদ্ধতা মেনে চলার মতো বৈশিষ্ট্য অন্তর্ভুক্ত রয়েছে। গেম-ভিত্তিক পদ্ধতি প্রতিপক্ষের সক্ষমতা মডেল করে এবং আদর্শ র্যান্ডম জেনারেশন থেকে পৃথকীকরণের অসম্ভবতা প্রমাণ করে।
5. প্রযুক্তিগত বিবরণ এবং গাণিতিক সূত্রায়ন
RPG-এর নিরাপত্তা গণনাগত পৃথকীকরণের ধারণা ব্যবহার করে মডেল করা হয়েছে। ধরা যাক $\mathcal{G}$ পাসওয়ার্ড জেনারেশন অ্যালগরিদম এবং $\mathcal{U}$ একটি একরূপ র্যান্ডম জেনারেটর। একটি প্রতিপক্ষ $\mathcal{A}$-এর সুবিধা নিম্নরূপে সংজ্ঞায়িত করা হয়েছে:
$$\text{Adv}_{\mathcal{G}}(\mathcal{A}) = |\Pr[\mathcal{A}^{\mathcal{G}} = 1] - \Pr[\mathcal{A}^{\mathcal{U}} = 1]|$$
লক্ষ্য হল প্রমাণ করা যে $\text{Adv}_{\mathcal{G}}(\mathcal{A})$ সমস্ত সম্ভাব্য বহুপদী-সময়ের প্রতিপক্ষের জন্য নগণ্য। EasyCrypt-এ আনুষ্ঠানিক প্রমাণে গেমগুলির একটি ক্রম নির্মাণ জড়িত, প্রতিটি আগেরটির থেকে সামান্য ভিন্ন, এবং প্রতিপক্ষের সাফল্যের সম্ভাবনার পার্থক্য সীমাবদ্ধ করা।
6. পরীক্ষামূলক ফলাফল এবং চিত্র
RPG-এর একটি রেফারেন্স বাস্তবায়নে আনুষ্ঠানিক যাচাইকরণ পরিচালিত হয়েছিল। প্রমাণটিতে প্রায় 500 লাইনের EasyCrypt কোড রয়েছে, যা কার্যকরী সঠিকতা (উত্পন্ন পাসওয়ার্ড নীতি পূরণ করে) এবং নিরাপত্তা (আউটপুট একরূপ র্যান্ডম থেকে পৃথকীকরণযোগ্য নয়) কভার করে। একটি স্ট্যান্ডার্ড ল্যাপটপে প্রমাণের সময় 10 সেকেন্ডের কম ছিল। গেম-ভিত্তিক প্রমাণ কাঠামোর একটি চিত্র নীচে দেখানো হয়েছে:
চিত্র 1: গেম-ভিত্তিক প্রমাণ কাঠামো: গেম 0 (বাস্তব অ্যালগরিদম) → গেম 1 (PRG-কে র্যান্ডম দিয়ে প্রতিস্থাপন) → গেম 2 (অক্ষর নির্বাচনকে একরূপ দিয়ে প্রতিস্থাপন) → গেম 3 (আদর্শ)। প্রতিটি রূপান্তর একটি ক্রিপ্টোগ্রাফিক অনুমান বা একটি হ্রাস দ্বারা ন্যায়সঙ্গত।
7. বিশ্লেষণ কাঠামোর উদাহরণ
কেস স্টাডি: কিপাস পাসওয়ার্ড জেনারেশন যাচাইকরণ
একটি নীতি বিবেচনা করুন যাতে কমপক্ষে 2টি ছোট হাতের অক্ষর, 2টি বড় হাতের অক্ষর, 2টি সংখ্যা এবং 2টি বিশেষ অক্ষর সহ একটি 12-অক্ষরের পাসওয়ার্ড প্রয়োজন। EasyCrypt-এ আনুষ্ঠানিক স্পেসিফিকেশন সংজ্ঞায়িত করে:
- পূর্বশর্ত: নীতি প্যারামিটার (দৈর্ঘ্য, প্রতি সেটে ন্যূনতম/সর্বোচ্চ, বাদ দেওয়া অক্ষর)।
- পোস্টকন্ডিশন: উত্পন্ন পাসওয়ার্ড সমস্ত সীমাবদ্ধতা পূরণ করে এবং বৈধ পাসওয়ার্ডের সেটের উপর একরূপ র্যান্ডম।
- নিরাপত্তা: কোনো প্রতিপক্ষ আউটপুটকে একই দৈর্ঘ্যের একটি সত্যিকারের র্যান্ডম স্ট্রিং থেকে আলাদা করতে পারে না।
প্রমাণটি পাসওয়ার্ডের দৈর্ঘ্যের উপর ইন্ডাকশন দ্বারা এগিয়ে যায়, দেখায় যে প্রতিটি অক্ষর উপযুক্ত সেট থেকে একরূপভাবে টানা হয় এবং চূড়ান্ত পারমুটেশন কোনো অবস্থানগত পক্ষপাতিত্ব নিশ্চিত করে না।
8. মূল বিশ্লেষণ
মূল অন্তর্দৃষ্টি: এই গবেষণাপত্রটি পাসওয়ার্ড জেনারেশন অ্যালগরিদমে আনুষ্ঠানিক যাচাইকরণ প্রয়োগ করে পাসওয়ার্ড ম্যানেজারের আস্থার একটি গুরুত্বপূর্ণ ফাঁক সমাধান করে। যদিও অনেক পিএম নিরাপত্তা দাবি করে, খুব কমই গাণিতিক গ্যারান্টি প্রদান করে। EasyCrypt-এর ব্যবহার প্রমাণযোগ্যভাবে সুরক্ষিত পাসওয়ার্ড জেনারেশনের দিকে একটি গুরুত্বপূর্ণ পদক্ষেপ।
যৌক্তিক প্রবাহ: লেখকরা প্রথমে বিদ্যমান অ্যালগরিদমগুলি জরিপ করেন, সাধারণ প্যাটার্ন এবং সম্ভাব্য ত্রুটিগুলি চিহ্নিত করেন। তারপর তারা একটি রেফারেন্স বাস্তবায়ন প্রস্তাব করেন এবং গেম-ভিত্তিক প্রমাণ ব্যবহার করে এর সঠিকতা এবং নিরাপত্তা আনুষ্ঠানিকভাবে যাচাই করেন। প্রবাহটি যৌক্তিক: সমস্যা সনাক্তকরণ → সমাধান নকশা → আনুষ্ঠানিক যাচাইকরণ → প্রভাব।
শক্তি এবং ত্রুটি: শক্তিটি কঠোর আনুষ্ঠানিক পদ্ধতির মধ্যে নিহিত, যা সাধারণ পরীক্ষার বাইরে গ্যারান্টি প্রদান করে। তবে, গবেষণাপত্রটি একটি একক রেফারেন্স বাস্তবায়নের উপর দৃষ্টি নিবদ্ধ করে, ক্রোম, বিটওয়ার্ডেন বা কিপাসের প্রকৃত কোড যাচাই করার উপর নয়। এটি ব্যবহারিক প্রভাবকে সীমিত করে। অতিরিক্তভাবে, প্রমাণটি একটি বিশ্বস্ত র্যান্ডম নম্বর জেনারেটর অনুমান করে, যা সমস্ত স্থাপনার পরিস্থিতিতে ধরে নাও যেতে পারে। বেলারে এবং রোগাওয়ে (1993) তাদের র্যান্ডম ওরাকলসের উপর অগ্রণী কাজে উল্লেখ করেছেন, তাত্ত্বিক মডেল এবং ব্যবহারিক বাস্তবায়নের মধ্যে ব্যবধান একটি চ্যালেঞ্জ রয়ে গেছে।
কার্যকরী অন্তর্দৃষ্টি: পিএম ডেভেলপারদের জন্য, EasyCrypt-এর মতো আনুষ্ঠানিক যাচাইকরণ সরঞ্জাম গ্রহণ করা আস্থা বাড়াতে এবং দুর্বলতা কমাতে পারে। গবেষকদের জন্য, প্রকৃত পিএম সোর্স কোড যাচাই করার জন্য এই কাজটি প্রসারিত করা (যেমন, ডিকম্পাইলেশন বা সিম্বলিক এক্সিকিউশনের মাধ্যমে) মূল্যবান হবে। ব্যবহারকারীদের পিএম প্রদানকারীদের কাছ থেকে স্বচ্ছতা এবং আনুষ্ঠানিক গ্যারান্টি দাবি করা উচিত। পদ্ধতিটি নিরাপত্তায় আনুষ্ঠানিক পদ্ধতির বৃহত্তর প্রবণতার সাথে সামঞ্জস্যপূর্ণ, যেমন ন্যাশনাল ইনস্টিটিউট অফ স্ট্যান্ডার্ডস অ্যান্ড টেকনোলজি (NIST) তাদের ক্রিপ্টোগ্রাফিক মডিউল বৈধতার নির্দেশিকায় সমর্থন করে।
9. ভবিষ্যত প্রয়োগ এবং দৃষ্টিভঙ্গি
আনুষ্ঠানিক যাচাইকরণ কাঠামোটি পিএম-এর অন্যান্য বৈশিষ্ট্য, যেমন পাসওয়ার্ড স্টোরেজ এবং অটোফিল-এ প্রসারিত করা যেতে পারে। ক্রমাগত ইন্টিগ্রেশন পাইপলাইনের সাথে একীকরণ পাসওয়ার্ড জেনারেশন কোডের স্বয়ংক্রিয় যাচাইকরণ সক্ষম করতে পারে। ভবিষ্যতের কাজ সাইড-চ্যানেল প্রতিরোধ এবং কোয়ান্টাম-নিরাপদ র্যান্ডম জেনারেশনও অন্বেষণ করতে পারে। পাসওয়ার্ড ম্যানেজারগুলি সর্বব্যাপী হয়ে উঠলে, ব্যবহারকারীর আস্থা তৈরি করতে এবং নিয়ন্ত্রক প্রয়োজনীয়তা (যেমন, GDPR, eIDAS) পূরণের জন্য আনুষ্ঠানিক গ্যারান্টি অপরিহার্য হবে।
10. তথ্যসূত্র
- Bellare, M., & Rogaway, P. (1993). Random oracles are practical: A paradigm for designing efficient protocols. Proceedings of the 1st ACM Conference on Computer and Communications Security, 62-73.
- Barthe, G., et al. (2011). EasyCrypt: A tutorial. Foundations of Security Analysis and Design VII, 146-204.
- NIST. (2020). Cryptographic Module Validation Program (CMVP). National Institute of Standards and Technology.
- Shoup, V. (2004). Sequences of games: A tool for taming complexity in security proofs. IACR Cryptology ePrint Archive, 2004/332.
- Grilo, M., Ferreira, J. F., & Almeida, J. B. (2021). Towards Formal Verification of Password Generation Algorithms used in Password Managers. arXiv:2106.03626v2.