انتخاب زبان

به سوی تأیید صوری الگوریتم‌های تولید رمز عبور در مدیران رمز عبور

مقاله‌ای پژوهشی که یک پیاده‌سازی مرجع تأییدشده صوری برای مولدهای رمز عبور تصادفی در مدیران رمز عبور پیشنهاد می‌دهد و از EasyCrypt برای اثبات صحت عملکردی و امنیتی استفاده می‌کند.
computationalcoin.com | PDF Size: 0.1 MB
امتیاز: 4.5/5
امتیاز شما
شما قبلاً به این سند امتیاز داده اید
جلد سند PDF - به سوی تأیید صوری الگوریتم‌های تولید رمز عبور در مدیران رمز عبور
مشاهده سند PDF دانلود PDF ترجمه PDF
خانه » مستندات » به سوی تأیید صوری الگوریتم‌های تولید رمز عبور در مدیران رمز عبور

1. مقدمه

مدیران رمز عبور (PMs) ابزارهای حیاتی‌ای هستند که کارشناسان امنیتی برای کاهش آسیب‌پذیری‌های مرتبط با احراز هویت رمز عبور، مانند رمزهای عبور ضعیف و استفاده مجدد از رمز عبور، توصیه می‌کنند. این ابزارها با مدیریت ذخیره‌سازی و تولید، استفاده از رمزهای عبور قوی و یکتا را ممکن می‌سازند. با این حال، پذیرش کاربران به دلیل عدم اعتماد به این برنامه‌ها با مانع مواجه شده است. این مقاله ویژگی تولید رمز عبور تصادفی (RPG) را به عنوان یک عامل کلیدی مؤثر بر اعتماد و استفاده شناسایی می‌کند. برای حل این مسئله، نویسندگان توسعه و تأیید صوری یک پیاده‌سازی مرجع برای یک الگوریتم RPG را پیشنهاد می‌دهند که هدف آن ارائه یک بنیان رمزنگاری‌شده و امنیت اثبات‌شده‌ای است که کاربران و توسعه‌دهندگان بتوانند به آن اعتماد کنند.

مشکل اصلی این است که در حالی که مدیران رمز عبور امنیت را ارتقا می‌دهند، مکانیسم‌های داخلی آن‌ها—به ویژه تولید رمز عبور—اغلب جعبه‌های سیاه غیرشفافی هستند. بدون تضمین‌های قابل تأیید، کاربران همچنان مشکوک باقی می‌مانند. مسیر راه‌حل شامل استفاده از روش‌های صوری، به ویژه چارچوب EasyCrypt، برای مشخص‌سازی ریاضی الگوریتم و اثبات صحت و ویژگی‌های امنیتی آن در برابر یک مدل دشمنی تعریف‌شده است.

2. الگوریتم‌های فعلی تولید رمز عبور

این مقاله 15 مدیر رمز عبور را بررسی می‌کند و بر سه مثال متن‌باز و پرکاربرد تمرکز دارد: مدیر رمز عبور داخلی گوگل کروم، Bitwarden و KeePass. این تحلیل الگوهای رایج و تفاوت‌های حیاتی در رویکردهای آن‌ها برای تولید رمزهای عبور تصادفی را آشکار می‌سازد.

2.1 سیاست‌های ترکیب رمز عبور

تمام مدیران رمز عبور مورد مطالعه به کاربران اجازه می‌دهند سیاست‌هایی را تعریف کنند که ساختار رمزهای عبور تولیدشده را محدود می‌کند. این سیاست‌ها معمولاً شامل موارد زیر هستند:

  • طول رمز عبور: از 1 تا 200 (کروم) تا یک حد افراطی 1 تا 30000 (KeePass) متغیر است.
  • مجموعه‌های نویسه: مجموعه‌های استاندارد شامل حروف کوچک، حروف بزرگ، اعداد و نویسه‌های ویژه هستند. KeePass با مجموعه‌های جداگانه برای پرانتزها، فاصله، خط تیره و زیرخط، جزئیات بیشتری ارائه می‌دهد.
  • حداقل/حداکثر در هر مجموعه: کروم و Bitwarden اجازه تعیین حداقل تعداد وقوع در هر مجموعه نویسه را می‌دهند. KeePass این امکان را ندارد.
  • حذف نویسه‌های مبهم: هر سه اجازه حذف نویسه‌های مشابه بصری (مانند 'l'، '1'، 'O'، '0') را برای کاهش خطای کاربر می‌دهند.
  • مجموعه‌های سفارشی و تکراری: KeePass به طور منحصربه‌فردی اجازه تعریف مجموعه‌های نویسه سفارشی برای گنجاندن یا حذف را می‌دهد و می‌تواند نویسه‌های تکراری را از رمز عبور تولیدشده حذف کند.

تنوع در گزینه‌های سیاست، فقدان استانداردسازی را برجسته می‌کند که ایجاد یک مدل جهانی و قابل تأیید را پیچیده می‌سازد.

2.2 تولید رمز عبور تصادفی

الگوریتم کلی شامل انتخاب تصادفی نویسه‌ها از مجموعه‌های مجاز، ضمن رعایت محدودیت‌های سیاست (طول، حداقل‌ها، حداکثرها) است. مقاله الگوریتم کروم را به تفصیل شرح می‌دهد:

  1. ابتدا، نویسه‌ها را برای هر مجموعه‌ای که تعداد حداقل وقوع تعریف‌شده‌ای دارد، تولید کنید.
  2. سپس، نویسه‌های باقی‌مانده را با انتخاب تصادفی از اجتماع تمام مجموعه‌هایی که هنوز به حداکثر وقوع مجاز خود نرسیده‌اند، تولید کنید.
  3. در نهایت، یک جایگشت تصادفی بر روی رشته نویسه‌های تولیدشده اعمال کنید.

این فرآیند، اگرچه به ظاهر ساده است، باید با دقت پیاده‌سازی شود تا تصادفی بودن واقعی و توزیع بی‌طرفانه در کل فضای رمز عبور محدودشده توسط سیاست تضمین شود. سوگیری‌های ظریف در انتخاب یا جایگشت می‌توانند رمزهای عبور حاصل را تضعیف کنند.

3. پیاده‌سازی پیشنهادی تأییدشده صوری

مشارکت اصلی مقاله، پیشنهاد ساخت یک پیاده‌سازی مرجع RPG با اثبات‌های بررسی‌شده ماشینی از ویژگی‌های آن است.

3.1 مشخصه صوری

اولین گام ایجاد یک مشخصه ریاضی دقیق از الگوریتم تولید رمز عبور درون EasyCrypt است. این مشخصه موارد زیر را تعریف می‌کند:

  • ورودی‌ها: پارامترهای سیاست (طول $L$، مجموعه‌های نویسه $S_1, S_2, ..., S_n$، حداقل‌ها $min_i$، حداکثرها $max_i$).
  • خروجی: یک رشته رمز عبور $p$ به طول $L$.
  • شرایط پیشین: سیاست باید سازگار باشد (مثلاً $\sum min_i \leq L$).
  • شرایط پسین (صحت عملکردی): خروجی $p$ باید تمام محدودیت‌های سیاست را برآورده کند. به صورت صوری، $\forall i, min_i \leq count(p, S_i) \leq max_i$، که در آن $count$ نویسه‌های مجموعه $S_i$ در $p$ را شمارش می‌کند.

3.2 ویژگی‌های امنیتی و اثبات‌ها

فراتر از صحت، پیاده‌سازی باید امنیت‌اش اثبات شود. مقاله رویکرد اثبات رمزنگاری مبتنی بر بازی را اتخاذ می‌کند. ویژگی امنیتی کلیدی، نمونه‌برداری یکنواخت تصادفی از مجموعه تمام رمزهای عبوری است که سیاست داده‌شده را برآورده می‌کنند.

این به صورت یک بازی امنیتی صوری‌سازی می‌شود که در آن یک دشمن سعی می‌کند بین یک رمز عبور تولیدشده توسط الگوریتم واقعی و یک رمز عبور نمونه‌برداری شده یکنواخت از فضای رمز عبور معتبر تمایز قائل شود. اثبات نشان می‌دهد که هیچ دشمن کارآمدی نمی‌تواند این بازی را با احتمالی به طور قابل توجهی بهتر از حدس تصادفی (1/2) ببرد. این امر تضمین می‌کند که الگوریتم الگوهای قابل پیش‌بینی یا سوگیری‌ها را معرفی نمی‌کند.

اثبات از کتابخانه‌های EasyCrypt برای استدلال درباره محاسبات احتمالی و نمونه‌برداری تصادفی استفاده خواهد کرد.

4. نتایج تجربی و تحلیل

در حالی که PDF ارائه‌شده یک کار مقدماتی است و حاوی نتایج تجربی کامل نیست، زمینه را برای آن‌ها فراهم می‌کند. تأیید پیشنهادی نتایج ملموس زیر را به همراه خواهد داشت:

  • گزارش تأیید: یک گواهی اثبات تولیدشده ماشینی از EasyCrypt که تأیید می‌کند کد الگوریتم به مشخصه صوری و قضایای امنیتی آن پایبند است.
  • تحلیل تطبیقی: الگوریتم تأییدشده را می‌توان با پیاده‌سازی‌های موجود در کروم، Bitwarden و KeePass مقایسه کرد. آزمایش‌ها شامل تولید دسته‌های بزرگی از رمزهای عبور (مثلاً 1 میلیون) تحت سیاست‌های یکسان و تحلیل آماری توزیع خواهد بود.
  • معیار: یک معیار کلیدی می‌تواند واگرایی کولبک-لایبلر (KL) یا آزمون کای دو بین توزیع تجربی رمزهای عبور تولیدشده و توزیع نظری یکنواخت بر روی فضای تعریف‌شده توسط سیاست باشد. یک الگوریتم تأییدشده صوری باید واگرایی‌ای نشان دهد که از نظر آماری غیرقابل تشخیص از صفر باشد، در حالی که پیاده‌سازی‌های تأییدنشده ممکن است سوگیری‌های ظریفی را آشکار کنند.
  • توضیح نمودار: یک نمودار میله‌ای که آنتروپی (بر حسب بیت) توزیع رمز عبور تولیدشده برای الگوریتم هر مدیر رمز عبور را در مقابل حداکثر آنتروپی نظری برای سیاست داده‌شده مقایسه می‌کند. میله پیاده‌سازی مرجع تأییدشده باید کاملاً با میله "حداکثر نظری" هم‌تراز باشد.

5. جزئیات فنی و چارچوب ریاضی

تأیید صوری بر مدل‌سازی ریاضی دقیق متکی است. اجازه دهید مفاهیم اصلی را تعریف کنیم:

فضای رمز عبور: با توجه به یک سیاست با طول $L$ و مجموعه‌های نویسه مجاز $S_1, ..., S_n$، مجموعه کل رمزهای عبور مطابق $\mathcal{P}$ زیرمجموعه‌ای از حاصل ضرب دکارتی $\mathcal{C}^L$ است، که در آن $\mathcal{C} = \bigcup_{i=1}^n S_i$. اندازه $\mathcal{P}$ توسط قوانین حداقل و حداکثر محدود می‌شود.

توزیع یکنواخت: هدف امنیتی این است که الگوریتم $\mathcal{A}$ تابعی را پیاده‌سازی کند که از یک نمونه‌بردار یکنواخت واقعی $\mathcal{U}_{\mathcal{P}}$ غیرقابل تشخیص باشد. برای هر رمز عبور $p \in \mathcal{P}$، احتمال باید به این صورت باشد: $$\Pr[\mathcal{A}(policy) = p] = \frac{1}{|\mathcal{P}|}$$ که در آن $|\mathcal{P}|$ کاردینالیته مجموعه رمز عبور معتبر است.

طرح اثبات مبتنی بر بازی: امنیت به عنوان یک بازی "واقعی یا تصادفی" (RoR) قاب‌بندی می‌شود.

  1. چالش‌گر یک سکه مخفی $b \xleftarrow{\$} \{0,1\}$ می‌اندازد.
  2. دشمن $\mathcal{D}$ می‌تواند با سیاست‌های رمز عبور از چالش‌گر پرس‌وجو کند.
  3. اگر $b=0$ (واقعی)، چالش‌گر الگوریتم واقعی $\mathcal{A}$ را اجرا می‌کند.
  4. اگر $b=1$ (تصادفی)، چالش‌گر به طور یکنواخت از $\mathcal{P}$ با استفاده از $\mathcal{U}_{\mathcal{P}}$ نمونه‌برداری می‌کند.
  5. $\mathcal{D}$ یک حدس $b'$ خروجی می‌دهد.
مزیت دشمن به صورت زیر تعریف می‌شود: $$\mathbf{Adv}^{ror}_{\mathcal{A},\mathcal{D}}(\lambda) = \left| \Pr[b' = b] - \frac{1}{2} \right|$$ اثبات نشان می‌دهد که برای تمام دشمنان احتمالی چندجمله‌ای-زمان $\mathcal{D}$، این مزیت در پارامتر امنیتی $\lambda$ (مرتبط با منبع تصادفی) ناچیز است.

6. چارچوب تحلیل: یک مثال غیرکدی

از آنجایی که PDF شامل کد واقعی نیست، در اینجا یک چارچوب تحلیل مفهومی برای ارزیابی یک الگوریتم RPG ارائه می‌شود که به صورت یک چک‌لیست ارائه شده است:

مورد: ارزیابی مولد رمز عبور "PM-X".

گام 1 - تجزیه سیاست: گزینه‌های رابط کاربری PM-X (کادرهای انتخاب، لغزنده‌ها) را به یک چندتایی سیاست صوری نگاشت کنید: (L=12, Sets={Lower, Upper, Digits}, min_Lower=1, min_Upper=1, min_Digits=1, exclude={'l','O','0'}).

گام 2 - شفافیت الگوریتمی: آیا مراحل الگوریتم (مانند فرآیند 3 مرحله‌ای کروم) را می‌توان به وضوح از مستندات یا کد منبع توصیف کرد؟ اگر نه، در آزمون شفافیت رد می‌شود.

گام 3 - محاسبه آنتروپی: حداکثر آنتروپی نظری برای سیاست را محاسبه کنید: $log_2(|\mathcal{P}|)$ بیت. برای سیاست فوق، $|\mathcal{P}|$ تعداد رشته‌های 12 نویسه‌ای از یک الفبا (مثلاً 70 نویسه پس از حذف) است که محدودیت‌های حداقل را برآورده می‌کنند. این معیار امنیتی است.

گام 4 - طراحی آزمون آماری: آزمایشی طراحی کنید تا $N$ رمز عبور تولید کند و برای توزیع یکنواخت آزمون بگیرد. از آزمون کای دو در کل فضای رمز عبور یا یک زیرمجموعه هوشمندانه نمونه‌برداری‌شده استفاده کنید.

گام 5 - تشخیص سوگیری: به دنبال سوگیری‌های خاص بگردید: آیا موقعیت‌های نویسه خاصی کمتر تصادفی هستند؟ آیا الگوریتم برآورده کردن حداقل‌ها، تصادفی بودن برای مکان‌های باقی‌مانده را کاهش می‌دهد؟

این چارچوب یک روش‌شناسی ساختاریافته و بدون کد برای بررسی انتقادی هر RPG ارائه می‌دهد که با هدف مقاله برای حرکت از ابهام به تحلیل قابل تأیید هم‌سو است.

7. کاربردهای آینده و جهت‌های پژوهشی

این کار چندین مسیر امیدوارکننده را باز می‌کند:

  • استانداردسازی: یک RPG تأییدشده صوری می‌تواند به یک مؤلفه استاندارد (مانند یک کتابخانه) تبدیل شود که در مدیران رمز عبور در سراسر صنعت ادغام می‌شود، مشابه نحوه‌ای که libsodium اولیه‌های رمزنگاری تأییدشده را ارائه می‌دهد.
  • ادغام مرورگر و سیستم عامل: سیستم‌های عامل (مانند Windows Hello، macOS Keychain) و مرورگرها می‌توانند مولد تأییدشده را برای ویژگی‌های پیشنهاد رمز عبور داخلی خود اتخاذ کنند و سطح امنیت پایه را برای همه کاربران ارتقا دهند.
  • تولید پشتیبانی‌شده توسط سخت‌افزار: الگوریتم تأییدشده را می‌توان در عناصر سخت‌افزاری امن (TPM، Secure Enclave) پیاده‌سازی کرد تا تولیدی که هم از نظر فیزیکی و هم منطقی امن است، فراهم شود.
  • ملاحظات پساکوانتومی: پژوهش آینده می‌تواند سیاست‌های تولید رمز عبوری را بررسی کند که رمزهای عبور مقاوم در برابر حملات جستجوی فراگیر کلاسیک و کوانتومی تولید می‌کنند، با اثبات‌های صوری که با مدل‌های تهدید جدید سازگار می‌شوند.
  • تأیید مبادله قابلیت استفاده-امنیت: مدل صوری را گسترش دهید تا ویژگی‌های مربوط به قابلیت به خاطر سپردن یا تایپ‌پذیری رمزهای عبور تولیدشده را اثبات کنید و شکاف بین رمزنگاری محض و تعامل انسان-رایانه را پر کنید.
  • تحلیل خودکار سیاست: ابزارهایی توسعه دهید که از مدل صوری برای تحلیل خودکار یک سیاست تعریف‌شده توسط کاربر استفاده می‌کنند و آنتروپی مؤثر آن و هر محدودیت ناخواسته‌ای که فضای رمز عبور را تضعیف می‌کند، گزارش می‌دهند.

8. مراجع

  1. Grilo, M., Ferreira, J. F., & Almeida, J. B. (2021). Towards Formal Verification of Password Generation Algorithms used in Password Managers. arXiv preprint arXiv:2106.03626.
  2. Bellare, M., & Rogaway, P. (2006). The security of triple encryption and a framework for code-based game-playing proofs. In Advances in Cryptology-EUROCRYPT 2006 (pp. 409-426). Springer.
  3. Barthe, G., Dupressoir, F., Grégoire, B., Kunz, C., Schmidt, B., & Strub, P. Y. (2016). EasyCrypt: A computer-aided cryptography toolset. Lecture Notes in Computer Science, 9573, 3-32.
  4. National Institute of Standards and Technology (NIST). (2020). Digital Identity Guidelines: Authentication and Lifecycle Management (SP 800-63B).
  5. Shannon, C. E. (1948). A mathematical theory of communication. The Bell System Technical Journal, 27(3), 379-423. (کار بنیادی در مورد آنتروپی و نظریه اطلاعات).
  6. Florêncio, D., Herley, C., & Van Oorschot, P. C. (2014). An administrator's guide to internet password research. In 28th Large Installation System Administration Conference (LISA14) (pp. 44-61).

9. دیدگاه تحلیلگر: بینش کلیدی و نقد

بینش کلیدی

این مقاله به درستی یک آسیب‌پذیری حیاتی، اما اغلب نادیده گرفته‌شده، در زنجیره تأمین امنیت سایبری را شناسایی می‌کند: تصادفی بودن تأییدنشده در قلب مدیران رمز عبور. بینش واقعی این نیست که تولید رمز عبور پیچیده است—بلکه این است که مدل اعتماد برای یک ابزار امنیتی بنیادین شکسته شده است. از کاربران خواسته می‌شود که به یک جعبه سیاه با کلیدهای دیجیتال خود اعتماد کنند. پیشنهاد نویسندگان برای اعمال تأیید صوری، یک تکنیک رایج‌تر در طراحی سخت‌افزار و نرم‌افزار حیاتی هوانوردی (مانند سیستم‌های دارای گواهی DO-178C)، به یک اولیه امنیتی مصرف‌کننده، هم بلندپروازانه و هم ضروری است. این تلاشی است برای پیوند زدن دقت آزمایشگاه پژوهشی SRI International یا INRIA به دنیای اغلب سهل‌انگار امنیت برنامه‌های کاربردی.

جریان منطقی

استدلال به صورت منطقی از یک مسئله به خوبی مستقر (عدم اعتماد کاربر به مدیران رمز عبور) به یک علت ریشه‌ای خاص و فنی (تولید رمز عبور غیرشفاف)، و سپس به یک مسیر راه‌حل مشخص و با اطمینان بالا (مشخصه صوری و اثبات) جریان می‌یابد. بررسی مدیران رمز عبور موجود فقط آکادمیک نیست؛ به طور مؤثری ناسازگاری شدید در پیاده‌سازی‌ها را نشان می‌دهد و موردی برای یک مرجع استاندارد و تأییدشده ارائه می‌دهد. چرخش به سمت EasyCrypt و اثبات‌های مبتنی بر بازی مناسب است، زیرا این چارچوب، که توسط مؤسسات پیشرو در رمزنگاری صوری توسعه یافته است، دقیقاً برای این کلاس از مسئله طراحی شده است. این جریان روش‌شناسی آثار بنیادی در رمزنگاری تأییدشده، مانند تأیید مولد HMAC-DRBG را منعکس می‌کند.

نقاط قوت و ضعف

نقاط قوت: بزرگ‌ترین نقطه قوت مقاله تمرکز آن بر یک مسئله با تأثیر بالا و قابل مدیریت است. سعی نمی‌کند یک مدیر رمز عبور کامل را تأیید کند؛ بلکه هسته رمزنگاری را هدف می‌گیرد. استفاده از مدیران رمز عبور متن‌باز برای تحلیل، پژوهش را در واقعیت مستقر می‌کند. انتخاب اثبات‌های مبتنی بر بازی، استاندارد صنعت برای تحلیل رمزنگاری مدرن است.

نقاط ضعف و شکاف‌های حیاتی: مقاله، همان‌طور که ارائه شده است، بیشتر یک پیشنهاد قانع‌کننده است تا یک مطالعه کامل. بارزترین حذف، کد واقعی EasyCrypt و اثبات‌های تکمیل‌شده است. بدون این‌ها، ادعا همچنان نظری باقی می‌ماند. علاوه بر این، مسئله پیچیدگی سیاست را کم‌اهمیت جلوه می‌دهد. مشخصه صوری باید هر مورد لبه‌ای از سیاست‌های تعریف‌شده توسط کاربر (مانند min/max متضاد، مجموعه‌های نویسه سفارشی) را مدیریت کند. این می‌تواند به مشخصه‌ای به پیچیدگی پیاده‌سازی منجر شود، که یک چالش شناخته‌شده در روش‌های صوری است. همچنین از منبع آنتروپی دنیای واقعی کنار می‌گذرد—الگوریتم فقط به اندازه CSPRNG سیستم (مانند /dev/urandom) خوب است. یک الگوریتم تأییدشده که با تصادفی بودن ضعیف تغذیه شود، همچنان ضعیف است. مقاله با محدود کردن صریح تضمین‌های خود بر اساس فرض یک منبع آنتروپی کامل، قوی‌تر می‌شد.

بینش‌های عملی

1. برای توسعه‌دهندگان مدیران رمز عبور: بلافاصله کد تولید رمز عبور خود را متن‌باز کنید و آن را در معرض حسابرسی شخص ثالث قرار دهید. شروع به مدل‌سازی الگوریتم خود کنید، حتی به صورت غیررسمی، تا سوگیری‌های بالقوه را شناسایی کنید. ادغام یک کتابخانه تأییدشده مانند کتابخانه‌ای که این پژوهش قصد تولید آن را دارد، در نظر بگیرید.

2. برای حسابرسان امنیتی: "تحلیل الگوریتم RPG" را به چک‌لیست استاندارد حسابرسی مدیر رمز عبور خود اضافه کنید. از چارچوب آماری ارائه‌شده در بخش 6 برای آزمون سوگیری‌های توزیعی در خروجی‌های کلاینت استفاده کنید.

3. برای نهادهای استاندارد (مانند NIST، FIDO Alliance): یک گروه کاری برای تعریف یک API استاندارد و مجموعه‌ای از الزامات امنیتی برای مولدهای رمز عبور آغاز کنید، راه را برای پیاده‌سازی‌های دارای گواهی هموار سازید. این امر استانداردسازی موفق الگوریتم‌های رمزنگاری را منعکس می‌کند.

4. برای پژوهشگران: این کار نقطه شروع کاملی است. گام بعدی تکمیل پیاده‌سازی و اثبات‌های EasyCrypt است. یک فاز بعدی و حیاتی، توسعه یک مهاربند آزمون است که می‌تواند کد تأییدشده را بگیرد و آن را در برابر کد دنیای واقعی کروم، Bitwarden و غیره فاز کند تا ناسازگاری‌ها و آسیب‌پذیری‌های مشخصی را بیابد و از نظریه به تأثیر عملی حرکت کند.

در نتیجه، این مقاله نور لازم را بر گوشه تاریکی از زیرساخت امنیتی ما می‌تاباند. اگرچه ناقص است، جهت آن صحیح است. صنعت مدیر رمز عبور از مرحله "فقط به ما اعتماد کنید" فراتر رفته است؛ زمان اعتماد قابل تأیید و ریاضی فرا رسیده است. موفقیت این پژوهش می‌تواند سابقه جدیدی برای نحوه ساخت تمام نرم‌افزارهای امنیتی سمت کلاینت تعیین کند.