Генерация токенов что это
Что такое события генерации токенов (TGE)?
Термины «криптовалюта» и «токен» часто ошибочно используются взаимозаменяемо в криптопространстве. Это одна из растущих проблем современной децентрализованной сети: словарный запас все еще находится в стадии разработки.
Но сначала нам нужно прояснить несколько вещей.
Что такое криптовалюты?
криптовалюты широко рассматривались как новая форма инвестиций, хотя их стоимость основана на крайне нестабильном рынке, который также в значительной степени не регулируется. Монеты в основном используются в качестве единицы хранения стоимости, поскольку это относится к конкретной компании.
Что такое токены?
Токены могут быть проданы и могут принимать форму товаров, очков лояльности или игровых аватаров и генерируются с использованием системы интеллектуальных контрактов.
Токены имеют много одинаковых свойств с монетами, хотя и являются взаимоисключающими. Токены работают по системе smart контрактов, которая позволяет им быть гораздо более программируемыми и функциональными, чем монеты.
Токен имеет ценность для владельца, цель для компании и функцию, связанную с ее владением. Например, если у вас есть токен, он может помочь повысить заинтересованность компании, предоставляя вам право голоса в выборе того, какие проекты получают финансирование, а какие нет.
Существует множество ролей и видов использования токенов: от прав голоса, обмена стоимости, доступа к платным услугам, до использования валюты и доходов от распределения, и многое другие.
Что касается регулирования, SEC вместе со Швейцарским органом по надзору за финансовым рынком (FINMA) разделили токены на два лагеря, которые мы рассмотрим ниже.
Что такое Utility токены («полезные»)?
Эти токены предоставляют пользователям доступ к сервису, который может предоставить компания. Они позволяют владельцам использовать сеть и часто предлагают право голоса. Не существует неотъемлемого обещания получения прибыли, хотя стоимость токенов может колебаться в зависимости от спроса и предложения на доступность токенов.
Они не считаются ценными бумагами. Но нормативно-правовая среда постоянно меняется, поэтому, если решите покупать такие токены, изучите вопрос более подробно.
Что такое Security Токены («инвестиционные»)?
Это токен, который проходит тест Хауи. Другими словами, эти типы токенов получают ценность от использования в качестве торгуемых активов и подчиняются федеральным ценным бумагам и правилам.
Если токены создаются или предлагаются без соблюдения этих правил, на компанию налагаются штрафы и штрафы.
TGE против ICO, почему это важно?
В зависимости от того, что пытается сделать конкретная компания, они могут пойти по маршруту ICO или пути TGE, что иногда называют запуском токенов.
По мере развития рынка регулирующие органы стали уделять все больше внимания управлению ICO в качестве обеспечения безопасности и, таким образом, они стали облагаться налогом. События генерации токенов выстраиваются таким образом, чтобы не быть ценными бумагами, чтобы не нести налоговые санкции.
Вывод
Дискуссия о том, будут ли ICO и TGE классифицироваться как различные продукты с юридической точки зрения, продолжается. Сфера движется так быстро, что сложно прийти к единому мнению, и мы уверены, что мы будем обновлять эту статью по мере развития рынка.
А Вы что думаете про жизнеспособность TGE? Останется ли это отдельной технологией или станет ценной бумагой, как и ICO? Поделитесь своим мнением в комментариях!
Токен авторизации на примере JSON WEB Token
Введение
Начнем с того, что важно уметь различать следующие два понятия: аутентификации и авторизации. Именно с помощью этих терминов почти все клиент-серверные приложения основывают разделение прав доступа в своих сервисах.
Еще одно небольшое введение
Формальное определение
Приступим наконец к работе самого токена. Как я сказал ранее в качестве токенов наиболее часто рассматривают JSON Web Tokens (JWT) и хотя реализации бывают разные, но токены JWT превратились в некий стандарт, именно поэтому будем рассматривать именно на его примере.
JSON Web Token (JWT) — это открытый стандарт (RFC 7519) для создания токенов доступа, основанный на формате JSON.
Фактически это просто строка символов (закодированная и подписанная определенными алгоритмами) с некоторой структурой, содержащая полезные данные пользователя, например ID, имя, уровень доступа и так далее. И эта строчка передается клиентом приложению при каждом запросе, когда есть необходимость идентифицировать и понять кто прислал этот запрос.
Принцип работы
Рассмотрим принцип работы клиент серверных приложений, работающих с помощью JWT. Первым делом пользователь проходит аутентификацию, конечно же если не делал этого ранее и в этом есть необходимость, а именно, например, вводит свой логин и пароль. Далее приложение выдаст ему 2 токена: access token и refresh token (для чего нужен второй мы обсудим ниже, сейчас речь идет именно об access token). Пользователь тем или иным способом сохраняет его себе, например, в локальном хранилище или в хранилище сессий. Затем, когда пользователь делает запрос к API приложения он добавляет полученный ранее access token. И наконец наше приложение, получив данный запрос с токеном, проверяет что данный токен действительный (об этой проверке, опять же, ниже), вычитывает полезные данные, которые помогут идентифицировать пользователя и проверить, что он имеет право на запрашиваемые ресурсы. Таким нехитрым образом происходит основная логика работы с JSON Web Tokens.
https://habr.com/ru/post/336082/
Структура токена
Пришло время обсудить структуру токена и тем самым лучше разобраться в его работе. Первое что следует отметить, что JWT токен состоит из трех частей, разделенных через точку:
Полезные данные (playload)
funnytorimage.pw
Рассмотрим каждую часть по подробнее.
Заголовок
Это первая часть токена. Она служит прежде всего для хранения информации о токене, которая должна рассказать о том, как нам прочитать дальнейшие данные, передаваемые JWT. Заголовок представлен в виде JSON объекта, закодированного в Base64-URL Например:
Если раскодировать данную строку получим:
Полезные данные
Что в JSON формате представляет собой:
Именно здесь хранится вся полезная информация. Для данной части нет обязательных полей, из наиболее часто встречаемых можно отметить следующие:
Одной из самых важных характеристик любого токена является время его жизни, которое может быть задано полем exp. По нему происходит проверка, актуален ли токен еще (что происходит, когда токен перестает быть актуальным можно узнать ниже). Как я уже упоминал, токен может помочь с проблемой авторизации, именно в полезных данных мы можем добавить свои поля, которые будут отражать возможности взаимодействия пользователя с нашим приложением. Например, мы можем добавить поле is_admin или же is_preferUser, где можем указать имеет ли пользователь права на те или иные действия, и при каждом новом запросе с легкостью проверять, не противоречат ли запрашиваемые действия с разрешенными. Ну а что же делать, если попробовать изменить токен и указать, например, что мы являемся администраторами, хотя таковыми никогда не были. Здесь мы плавно можем перейти к третьей и заключительной части нашего JWT.
Подпись
Время жизни токена и Refresh Token
Заключение
В данной статье я постарался подробно рассмотреть работу клиент-серверных приложений с токеном доступа, а конкретно на примере JSON Web Token (JWT). Еще раз хочется отметить с какой сравнительной легкостью, но в тоже время хорошей надежностью, токен позволяет решать проблемы аутентификации и авторизации, что и сделало его таким популярным. Спасибо за уделенное время.
Обзор аутентификации на основе токенов
В прошлом для аутентификации в большинстве приложений и веб-сервисов пользователи должны были запоминать и при каждом логине вводить свои пароли. Кроме неудобства, это создавало ещё и угрозы безопасности, поскольку пользователи часто выбирали слабые пароли и использовали их в нескольких сервисах. Аутентификация на основе токенов устраняет подобные проблемы. Давайте разберёмся, как она реализуется.
Что такое аутентификация на основе токенов?
Аутентификация на основе токенов упрощает процесс аутентификации для уже известных пользователей. Для начала работы пользователь отправляет запрос к серверу, указав имя пользователя и пароль. Затем сервер подтверждает их на основании значений, зарегистрированных в его базе данных идентификационной информации. Если идентификационные данные подтверждены, сервер возвращает токен аутентификации (который тоже хранится в базе данных).
Когда тот же пользователь в дальнейшем шлёт запросы на доступ к защищённым ресурсам, эти запросы могут быть авторизованы при помощи токена аутентификации вместо имени пользователя и пароля. Сервер сверяет токен с зарегистрированным в базе данных токеном и предоставляет доступ. Аутентификацию можно реализовать на основе различных типов токенов, например, OAuth и JSON Web Tokens (JWT).
JWT использует безопасный способ, основанный на подписанных токенах, что позволяет с лёгкостью выявлять модификации. Аппаратные токены могут содержать идентификационные данные или генерировать одноразовый пароль.
Как работает аутентификация на основе токенов?
Существует множество способов предоставления пользователям токенов аутентификации — аппаратные токены, одноразовые пароли (обычно передаваемые через мобильный телефон) и программные токены, обычно основанные на стандарте JWT.
Все токены безопасным образом хранят идентификационную информацию и данные пользователя. Токен также может подтвердить, что данные верны и их не модифицировали — важное требование безопасности с учётом множества современных законов о конфиденциальности. Также они значительно повышают удобство работы для пользователя, поскольку позволяют пользователям выполнять вход без необходимости запоминания паролей.
Аутентификация на основе токенов обычно состоит из четырёх этапов:
Основные типы токенов аутентификации
Вот несколько популярных типов токенов, используемых разработчиками для аутентификации пользователей или аккаунтов сервисов.
Аппаратные токены (USB)
Аппаратные токены — это физические устройства, обеспечивающие авторизацию пользователей для доступа к защищённым сетям. Также иногда их называют токенами аутентификации или безопасности. Задача аппаратного токена — обеспечение дополнительного слоя защиты благодаря двухфакторной или многофакторной аутентификации (2FA или MFA). Владелец токена привязывает токен к системе или сервису, доступ к которому ему необходим.
Аппаратные токены спроектированы с учётом удобства для пользователей и возможности настройки, поэтому они могут иметь различные форматы. Самыми распространёнными типами токенов являются брелки, USB и беспроводные токены. Аппаратные токены можно разделить на три категории.
JSON Web Tokens (JWT)
JSON Web Token (JWT) — это открытый стандарт (RFC 7519). Он определяет простой автономный способ защищённой передачи информации между сторонами. Стандарт JWT использует объекты JavaScript Object Notation (JSON) для передачи токенов между сторонами. Эти токены могут использоваться для аутентификации, а также для передачи дополнительной информации о пользователе или аккаунте.
Благодаря своему малому размеру JWT могут передаваться как URL, параметры POST или заголовки HTTP и доставляться быстро. JWT содержит всю необходимую информацию о сущности, чтобы избежать многократных запросов к базе данных. Получателю JWT не нужно вызывать сервер, чтобы проверить токен.
JWT состоит из трёх частей:
Одноразовые токены One-Time Password (OTP)
Токены One-time password (OTP) — это защищённые аппаратные устройства или программы, способные генерировать одноразовые пароли. Чаще всего это personal identification numbers (PIN) — числовые коды длиной 4-12 цифр.
Для генерации или получения одноразовых паролей часто применяются смартфоны. После того, как пользователь доказал, что владеет конкретным телефоном, он может использовать приложение аутентификатора, генерирующее пароли OTP — в этом случае телефон служит генератором кодов. Или же OTP могут отправляться в устройство через SMS.
Одноразовые пароли усиливают существующие системы идентификации и паролей, добавляя в них динамически генерируемые идентификационные данные. Токены OTP генерируют PIN синхронно или асинхронно, это зависит от их поставщика:
API-токены
Если вкратце, то API-токены используются как уникальные идентификаторы приложения, запрашивающего доступ к сервису. Сервис генерирует API-токен для приложения, чтобы оно использовало его при запросе сервиса. Для аутентификации и предоставления доступа API-токен можно сопоставить с сохранённым токеном. В некоторых случаях можно реализовать Session ID, но это бывает очень нечасто.
API-токены получили популярность благодаря тому, что они заменяют небезопасную практику отправки сочетаний имени пользователя и пароля по HTTP. Одним из самых популярных сегодня способов реализации безопасности API является OAuth2 (токены доступа).
Безопасна ли аутентификация на основе токенов?
Киберпреступления становятся всё более изощрёнными, поэтому поставщики сервисов с удалённым управлением должны непрерывно обновлять методики и политики безопасности. В последнее время выросло количество атак, нацеленных на идентификационные данные при помощи таких способов, как фишинг, брутфорс и атаки по словарю. Это значит, что аутентификация больше не может использовать только пароли.
Аутентификация на основе токенов в сочетании с дополнительными техниками аутентификации может создать более сложный барьер, чтобы помешать умным хакерам использовать украденные пароли. Токены можно получать только с уникального устройства, которое их создало (например, смартфона или брелка), благодаря чему они становятся сегодня высокоэффективной методикой авторизации.
Хотя платформы токенов аутентификации совершили большой прогресс, угроза частично сохраняется. Хранящиеся в мобильных устройствах токены легко использовать, но они могут оказаться доступными из-за уязвимостей устройства. Если токены отправляются текстовым сообщением, их можно легко перехватить во время передачи. Если устройство украдено или утеряно, злоумышленник может получить доступ к хранящимся на нём токенам.
Однако всегда нужно помнить о том, что никогда не стоит полагаться на один способ аутентификации. Аутентификация токенами должна считаться только одним из компонентов стратегии двухфакторной или многофакторной аутентификации.
Плюсы и минусы программных токенов
Как и в случае с любой методологией или техникой, при выборе программных токенов нужно учитывать их достоинства и недостатки.
Токены PKCS#11: генерация ключевой пары и неизвлекаемость приватного ключа (Продолжение)
Итак, что такое ключевая пара?
Ключевая пара включает в себя два ключа:
Открытый ключ подписи вычисляется, как значение некоторой функции от закрытого ключа, но знание открытого ключа не дает возможности определить закрытый ключ.
И именно оно определяет длину закрытого/открытого ключей и корректность закрытого ключа:
— длина закрытого ключа 256 бит;
— длина закрытого ключа 512 бит.
И так, открытый ключ получается из закрытого ключа.
А откуда берется закрытый ключ?
Для получения закрытого ключа сначала необходимо решить какой длины будет закрытый ключ (256 или 512 бит), затем определиться с криптопараметрами ключевой пары. Теперь берем датчик случайных чисел и получаем случайное число соответствующей длины. Собственно это случайное число и должно стать значением d закрытого ключа (ключом подписи d). Это значение должно удовлетворять следующему правилу:
0 Нас интересуют атрибуты извлекаемости закрытого ключа.
Это прежде атрибут CKA_SENSITIVE, отвечающий за возможность получения значения закрытого ключа. Если значение атрибута CKA_SENSITIVE установлено в CK_TRUE, то закрытый ключ не может быть извлечен из токена в открытом виде. Второй атрибут CKA_EXTRACTABLE позволяет получать закрытый ключ в зашифрованном виде. Для этого его необходимо установить CK_TRUE.
Установка атрибута CKA_SENSITIVE в CK_TRUE, а атрибута CKA_EXTRACTABLE в CK_FALSE при генерации ключевой пары делает закрытый ключ абсолютно неизвлекаемым. Возможность определять является ли ключ экспортабельным имеется в браузере Redfox:
Кто-то скажет, — а что если изменить значения этих атрибутов. Как правило этого сделать нельзя, защиту понизить нельзя, также как «нельзя понижать градус». Точно также можно сделать неизвлекаемым закрытый ключ после его импорта на токен (если конечно токен/смарткарта разрешают импорт). После создания (или во время создания) объекта CKO_PRIVATE_KEY необходимо установить CKA_SENSITIVE=CK_TRUE, а атрибута CKA_EXTRACTABLE=CK_FALSE.
В последнем случае (при импорте) следует иметь в виду, что хотя закрытый ключ и стал неизвлекаемым, он появился со стороны (например, из PKCS#12), и гарантии, что нет еще где-то его дубликата нету.
Убедиться, что на токен/смарткарте находятся полноценные объекты PKCS#11 (CKO_PRIVATE_KEY, CKO_PUBLIC_KEY, CKO_CERTIFICATE), которые участвуют в криптографических операциях на самом токене удобно с помощью доступной для свободного скачивания утилиты p11conf:
Для того, чтобы посмотреть какие объекты находятся на токене достаточно выполнить команду вида:
Если такие объекты отсутствуют на токене, а говорят, что используется токен PKCS#11 с неизвлекаемым ключом, то это скорей всего не так. Скорей всего токен используется просто как флэшка с PIN-кодом, а сертификат и ключи хранятся как объекты CKO_DATA.
И наконец, для того, чтобы посмотреть не только какие типы объектов хранятся на токене, а объекты со всеми атрибутами необходимо использовать дополнительно флаг –d:
Все сказанное здесь справедливо для токена/смарткарты с интерфейсом PKCS#11, включая облачный токен.
В заключение напомним, что токены/смаркарты с интерфейсом PKCS#11 широко используются в проектах Mozilla (браузеры, почтовые клиенты), в браузерах Chrome от Google и других проектах. Если говорить о России, то токены/смаркарты с интерфейсом PKCS#11успешно используются для доступа на портал Госуслуг.
Как бесплатно получить NFT. Инструкция по созданию и продаже токенов
Работа художника стала первым лотом в истории аукционного дома Christie’s, который был продан за криптовалюту. Оплата за картину была проведена в Ethereum, а комиссионные Christie’s нужно будет выплатить в долларах США.
Недавно в незаимозаменяемый токен была конвертирована работа еще одного художника — Бэнкси. Саму картину сожгли в неизвестном месте в Нью-Йорке, а после этого создали токен, привязанный «цифровому образу предмета искусства». Помимо искусства, NFT-токены уже начали входить в сферу недвижимости. Инвестор из США продает 50-процентную долю в жилом доме при помощи невзаимозаменяемого токена.
Рост популярности
Широкую известность технология NFT получила благодаря игре CryptoKitties, в которой можно коллекционировать котов. Каждый кот привязан к собственному уникальному токену и является цифровым активом. У коллекционеров есть возможность создавать новых котов и продавать их других игрокам.
Как создать и продать собственный NFT-токен
Самыми популярными площадками для работы с невзаимозамеными токенами являются Rarible, OpenSea и Mintable. Они предоставляют возможность создавать собственные коллекции токенов. Для этого необходим Ethereum-кошелек и контент, который будет привязан к токену. Подойдут картинки, музыка, видеоролики и даже 3D-модели. Также при создании токена можно добавить заблокированный контент, который сможет увидеть только его владелец.
Покупка чужого токена
На платформах Rarible, OpenSea и Mintable уже торгуются тысячи виртуальных лотов. Среди них: доменные имена, предметы цифрового искусства, виртуальная недвижимость, игровые предметы, наборы коллекционирования. Для покупки этих лотов также потребуется Ethereum-кошелек с цифровыми монетами.
На OpenSea можно найти коллекцию CryptoPunks, которая содержит 10 тыс. пиксельных портретов. Изначально они распространялись авторами бесплатно, но сейчас рисунки оцениваются в сотни цифровых монет. Один из рисунков недавно был продан за рекордные 4,2 тыс. Ethereum ($7,49 млн). Также на площадке представлены криптокотята из игры CryptoKitties.
Также на площадке можно найти виртуальную недвижимость из песочницы The Sandbox. Например, недавно участок земли был продан за 85 Ethereum ($146 тыс.), что по цене не уступает стоимости земли в реальном мире.
Бесплатное получение токенов
Различные разработчики и создатели NFT-проектов часто проводят в своих социальных сетях раздачи токенов, чтобы привлечь новую аудиторию. Так делает один из основателей проекта Avalanche Дон Вонтон. Для участия в розыгрышах нужно следить за его аккаунтом в Twitter и репостить записи с объявлением бесплатной раздачи. Также в комментариях к розыгрышу необходимо оставлять Ethereum-кошелек.
Возможность бесплатно получить токены предоставляет агрегатор криптовалют Coingecko.com. Каждый день на сайте можно получать специальные бонусные баллы. С каждым последующим днем количество баллов будет увеличиваться. Сервис несколько раз в месяц размещает собственные NFT-токены, которые можно купить за бонусные баллы. Помимо токенов за них также можно приобрести сувенирную продукцию (футболки, блокноты и т.д.). Один из таких токенов был продан на OpenSea за 1,5 Ethereum ($2,67 тыс).
Больше новостей о криптовалютах вы найдете в нашем телеграм-канале РБК-Крипто.