Web Cryptography API: dal W3C arriva la prima bozza

Il W3C (World Wide Web Consortium) ha reso disponibile la prima draft della Web Cryptography API; la specifica preliminare descrive un'interfaccia di programmazione JavaScript per l'esecuzione di procedure crittografiche basilari nelle applicazioni Web in HTML5. Tra le operazioni supportate vi dovrebbero essere la generazione di firme, l'hashing, la cifratura e la decriptazione.

Il progetto è in pratica quello di utilizzare degli algoritmi per la produzione di hash che affianchino i protocolli per le comunicazioni sicure TLS e SSL; la bozza contiene già  i riferimenti ad alcuni degli algoritmi raccomandati tra cui HMAC con SHA-256, RSASSA-PKCS1-v1_5 con SHA-256, ECDSA con P-256 e SHA-256 e AES-CBC. L'ambito di utilizzo delle API dovrebbe essere abbastanza ampio, dall'autenticazione multi-fattore alle verifiche di integrità  nelle comunicazioni.

Secondo le intenzioni del W3C, l'API crittografica dovrà  permettere anche la generazione di Public e Private Keys nonché di cifrare le informazioni in transito tramite HTTP, l'obiettivo sarebbe quindi quello di proporre un nuovo strumento per la protezione contro fenomeni di identity theft e di information disclosure da parte di utenti malintenzionati.

Nella draft sono poi contenuti i riferimenti ad altri possibili contesti d'impiego della Web Cryptography API, come per esempio la protezione dei documenti in condivisione, l'allocazione dei contenuti tramite Cloud Computing, le firme digitali sui documenti elettronici, la protezione dell'integrità  dei dati e la sicurezza dell'instant messaging.

Le specifiche contenute nella bozza sono ora oggetto di discussione all'interno del working group del quale fanno parte anche esponenti della Fondazione Mozilla e di Mountain View; è possibile che le future specifiche ufficiali contengano delle modifiche sostanziali rispetto all'impianto attuale.