menuDAT

DAT प्रमाणपत्र

1. परिचय (Introduction)

DAT प्रमाणपत्र DAT (Data Authentication Token) जारी करने के अधिकार को नियंत्रित करने और टोकन के हस्ताक्षर तथा एन्क्रिप्शन एल्गोरिदम एवं कुंजी (Key) जानकारी को प्रबंधित करने के लिए एक विनिर्देशन (Specification) है।

प्रत्येक प्रमाणपत्र का एक अद्वितीय ID (CID) होता है, और DAT जारी करने की अनुमत अवधि तथा बनाए गए टोकन की डिफ़ॉल्ट वैधता अवधि (TTL) को बाध्य करके टोकन के जीवनचक्र को सुरक्षित रूप से प्रबंधित करता है।


2. प्रमाणपत्र संरचना (Structure)

Structure
Example refresh

2.1. फ़ील्ड-वार विस्तृत विवरण

CID : Hex (uint64)

  • प्रमाणपत्र की पहचान करने वाला अद्वितीय प्रमाणपत्र ID है। DAT के CID फ़ील्ड के साथ मैप होकर सत्यापन के समय यह निर्धारित करता है कि किस प्रमाणपत्र का उपयोग किया जाए।

DAT जारी करने का प्रारंभ समय : uint64 (Unix Time)

  • इस प्रमाणपत्र का उपयोग करके DAT जारी किया जा सकने वाला प्रारंभ समय सेकंड (Seconds) इकाई में दर्शाता है।

DAT जारी करने की अवधि : uint64 (Seconds)

  • प्रमाणपत्र की जारी करने की वैधता अवधि है। DAT जारी करने का प्रारंभ समय से यह अवधि (सेकंड) बीत जाने के बाद इस प्रमाणपत्र से नया DAT जारी नहीं किया जा सकता।

DAT TTL (वैधता समय) : uint64 (Seconds)

  • इस प्रमाणपत्र से जारी किए जाने वाले DAT की डिफ़ॉल्ट वैधता अवधि (Time To Live) है। DAT बनाते समय expire का मान जारी करने के समय (वर्तमान समय) में dat-ttl जोड़कर सेट किया जाता है।

हस्ताक्षर एल्गोरिदम : String / Enum

  • DAT के signature फ़ील्ड को बनाने और सत्यापित करने के लिए उपयोग किया जाने वाला हस्ताक्षर एल्गोरिदम है।

एन्क्रिप्शन एल्गोरिदम : String / Enum

  • DAT के secure फ़ील्ड को एन्क्रिप्ट और डीक्रिप्ट करने के लिए उपयोग किया जाने वाला एन्क्रिप्शन एल्गोरिदम है।

हस्ताक्षर कुंजी : Base64Url (Binary)

  • हस्ताक्षर और सत्यापन में उपयोग किए जाने वाले कुंजी डेटा हैं। (एल्गोरिदम के अनुसार असममित कुंजी का Public/Private Key या सममित कुंजी हो सकती है।)

एन्क्रिप्शन कुंजी : Base64Url (Binary)

  • secure फ़ील्ड के एन्क्रिप्शन और डीक्रिप्शन में उपयोग किए जाने वाले एन्क्रिप्शन कुंजी डेटा हैं।

3. एल्गोरिदम

हस्ताक्षर एल्गोरिदम

DAT की जालसाजी और परिवर्तन रोकने के लिए हस्ताक्षर एल्गोरिदम की सूची है।

सममित कुंजी और असममित कुंजी दोनों पद्धतियों का समर्थन करता है।


ECDSA-P256

  • दीर्घवृत्त वक्र डिजिटल हस्ताक्षर एल्गोरिदम (NIST secp256r1)

ECDSA-P384

  • दीर्घवृत्त वक्र डिजिटल हस्ताक्षर एल्गोरिदम (NIST secp384r1)

ECDSA-P521

  • दीर्घवृत्त वक्र डिजिटल हस्ताक्षर एल्गोरिदम (NIST secp521r1)

HMAC-SHA256-MFS

  • 256-bit निश्चित आकार की गुप्त कुंजी (MFS) आधारित Keyed-Hashing

HMAC-SHA384-MFS

  • 384-bit निश्चित आकार की गुप्त कुंजी (MFS) आधारित Keyed-Hashing

HMAC-SHA512-MFS

  • 512-bit निश्चित आकार की गुप्त कुंजी (MFS) आधारित Keyed-Hashing

MFS (Maximum Fixed Secret): हैश एल्गोरिदम के आउटपुट (Output) आकार के समान बिट संख्या की निश्चित आकार की गुप्त कुंजी का उपयोग करने की पद्धति है।


एन्क्रिप्शन एल्गोरिदम

DAT के आंतरिक गोपनीय डेटा (secure फ़ील्ड) की सुरक्षा के लिए प्रमाणित एन्क्रिप्शन (Authenticated Encryption) एल्गोरिदम की सूची है।

एन्क्रिप्शन का परिणाम डीक्रिप्शन और पुनः उपयोग हमले (Replay Attack) की रोकथाम के लिए IV और एन्क्रिप्टेड डेटा के संयुक्त रूप में होता है।


IV-AES128-GCM

  • IV(96bit) + एन्क्रिप्शन_परिणाम(Binary)
  • 128-bit कुंजी का उपयोग करने वाला AES-GCM मोड

IV-AES256-GCM

  • IV(96bit) + एन्क्रिप्शन_परिणाम(Binary)
  • 256-bit कुंजी का उपयोग करने वाला AES-GCM मोड

IV (Initialization Vector) अंतर्निहित होना: पुनः उपयोग हमले (Replay Attack) को रोकने के लिए प्रत्येक एन्क्रिप्शन पर बनाया जाने वाला अद्वितीय 96-बिट आकार का NONCE (IV) एन्क्रिप्शन परिणाम डेटा के आगे उपसर्ग (Prefix) के रूप में जोड़कर बाइनरी में शामिल किया जाता है। डीक्रिप्शन के समय अग्रणी 96 बिट को IV के रूप में अलग करके डीक्रिप्शन किया जाता है।