В эпоху цифровой трансформации безопасность информации становится ключевым элементом в жизни каждого пользователя и организации. Современные методы защиты данных встраиваются не только в корпоративные решения, но и в повседневные приложения, которыми мы пользуемся ежедневно. Одной из наиболее перспективных технологий является шифрование файлов с использованием Passkeys и формата Age — сочетание, которое гарантирует надежную, удобную и защищённую передачу и хранение информации. Passkeys, или веб-аутентификационные ключи, представляют собой современный способ аутентификации, основанный на стандарте WebAuthn. В отличие от традиционных паролей, passkeys синхронизируются между устройствами пользователя, обеспечивают защиту от фишинга и предоставляют пользователю возможность быстро и безопасно получить доступ к своим данным.
Этот метод аутентификации хранится в аппаратных и программных хранилищах, таких как платформа Apple iCloud Keychain или менеджеры паролей типа 1Password, а также на внешних токенах FIDO2, например, YubiKey. А технология Age (англ. «age encryption») — это современный формат для простого и безопасного шифрования файлов. Благодаря высокой эффективности и открытости спецификации Age является удобным решением для пользователей, которые хотят защитить свои данные от несанкционированного доступа. Он использует современные алгоритмы шифрования, что обеспечивает высокую степень безопасности при обмене информацией.
Интеграция Passkeys с форматом Age стала возможной благодаря развитию спецификации WebAuthn и внедрению протокола PRF (псевдо-случайной функции) в браузерах и платформах с выпуском новых версий операционных систем и браузеров. PRF позволяет использовать криптографические особенности Passkeys не только для аутентификации, но и для симметричного шифрования, используя секретные ключи, доступные только аутентифицированному пользователю. Преимущество данного подхода в том, что криптографический ключ не передается напрямую и не хранится в открытом виде. Вместо этого используется вычисляемый с помощью PRF ключ, который зависит от уникальной информации, такой как nonce, и пользовательских данных, защищенных самого passkey. Это гарантирует, что только владелец соответствующего passkey сможет получить доступ к расшифровке файлов.
Реализация этой технологии доступна через проект Typage — TypeScript-библиотеку для шифрования Age, которая поддерживает работу в Node.js, Deno, Bun и браузерах. Typage предоставляет интерфейсы для создания новых passkeys, шифрования и расшифровки данных, а также поддерживает расширение WebAuthn PRF. Одна из основных особенностей Typage — возможность работать с passkeys не только в браузере, но и с аппаратными FIDO2-токенами с помощью отдельного плагина второго уровня для Age CLI, что значительно расширяет возможности применения этого подхода. Технология относительно нова, но поддерживается современными браузерами и операционными системами: Chrome, macOS 15 и iOS 18, а также менеджером паролей 1Password начиная с июля 2024 года.
Благодаря этому обмен зашифрованными файлами становится легко интегрируемым в существующие рабочие процессы пользователя, обеспечивая совместимость между разными устройствами и платформами. Для пользователя процесс шифрования с passkey выглядит достаточно просто: создается новый ключ с помощью WebAuthn API, который сохраняется в безопасном хранилище. Далее файл шифруется с использованием Age, где в качестве получателя указывается недавно созданный passkey с поддержкой PRF. В момент расшифровки необходимо подтвердить присутствие пользователя — путем ввода PIN, биометрии или касания аппаратного токена — что значительно повышает уровень защиты от атаки злоумышленников. Большое значение имеет и аспект приватности.
Формат fido2prf, который используется в шифровании, обеспечивает концепцию unlinkability — невозможно определить, что два разных зашифрованных файла связаны одним и тем же passkey. Это снижает риск отслеживания или анализа зашифрованных данных, сохраняя анонимность и защищая личную информацию пользователей. Использование passkeys с Age открывает новые горизонты для безопасного обмена файлами в бизнесе, среди правительственных организаций и для частного использования. Пользователи могут безопасно обмениваться документами, фотографиями или конфиденциальной информацией без необходимости запоминать или хранить сложные пароли. Более того, благодаря синхронизации passkeys, процесс становится удобным и прозрачным: зашифрованный файл можно создать на одном устройстве и без проблем расшифровать на другом, например, на телефоне или другом компьютере.
Особое внимание заслуживает и использование FIDO2-токенов, таких как YubiKey, которые добавляют дополнительный уровень защиты благодаря аппаратному хранению ключей. Несмотря на ограниченную поддержку resident credentials в некоторых устройствах, разработчики предоставили альтернативный сценарий работы — хранение состояния ключа зашифрованным в идентификаторе представления (credential ID), который можно использовать вместе с токеном для аутентификации. Это повышает надежность и гибкость применения методики в сложных бизнес- и рабочих сценариях. Существование плагина age-plugin-fido2prf для Age CLI демонстрирует развитие экосистемы вокруг этих технологий. Он позволяет использовать passkeys и FIDO2-токены вне браузера, что расширяет варианты применения класса secure encryption для командной строки и скриптов.
Такой CLI-инструмент значительно упрощает интеграцию в существующие процессы автоматизации и управления секретами на корпоративном уровне. Перспективы развития Passkeys и Age выглядят очень многообещающе. Глобальный отказ от паролей в сторону безопасной аутентификации, интеграция с разнообразными устройствами и платформами, а также открытость спецификаций обеспечивают быстрое распространение и внедрение этой технологии. Компании и индивидуальные пользователи получают возможность обойти привычные уязвимости, связанные с паролями, и существенно повысить уровень цифровой безопасности при взаимодействии с ценными данными. В конечном итоге, подход, основанный на Passkeys и Age, способен стать новым стандартом в области защиты данных.
Он сочетает надежность аппаратных и программных решений, простоту использования и современную криптографию. Благодаря развитию WebAuthn PRF, пользователи и организации теперь могут использовать удобные, переносимые и безопасные методы шифрования с минимальной нагрузкой на пользователя и высоким уровнем защиты. Итогом является создание экосистемы, в которой личные и корпоративные данные остаются под надежной охраной, а процесс шифрования становится такой же естественной повседневной операцией, как отправка письма или загрузка файла. Новые возможности, которые предоставляют Passkeys и Age, меняют представление о том, как должна выглядеть современная, безопасная цифровая коммуникация и обмен информацией.
