Overview

OHTTP सार्वजनिक कुंजी

यह एंडपॉइंट आरएफ़सी 9458 में बताए गए OHTTP सार्वजनिक कुंजी कॉन्फ़िगरेशन के बारे में जानकारी देगा. क्लाइंट इसका इस्तेमाल, OHTTP अनुरोध को एन्क्रिप्ट (सुरक्षित) करने के लिए करेगा.

GET https://safebrowsingohttpgateway.googleapis.com/v1/ohttp/hpkekeyconfig?key=<API key>

ऊपर दी गई एपीआई कुंजी की पूरी तरह से ज़रूरत नहीं है; सर्वर, उपलब्ध कराई गई एपीआई कुंजी के आधार पर OHTTP सार्वजनिक कुंजी को बदलता नहीं है. क्लाइंट को इस बात की जांच करने की अनुमति है. इसके लिए, वे इस एंडपॉइंट को ऐक्सेस करने के लिए अलग-अलग मान्य एपीआई कुंजियों का इस्तेमाल कर सकते हैं या बिना किसी एपीआई कुंजी के इस्तेमाल कर सकते हैं. साथ ही, वे यह भी जांच सकते हैं कि रिस्पॉन्स में वाकई में वही OHTTP सार्वजनिक कुंजी है या नहीं. हालांकि, हम एपीआई पासकोड को आसानी से डीबग करने के लिए, एपीआई पासकोड का इस्तेमाल करने का सुझाव देते हैं. इससे क्लाइंट, Google Cloud Console पर अनुरोधों की संख्या जैसे आंकड़े देख सकते हैं. अगर क्लाइंट एपीआई पासकोड उपलब्ध कराना चाहता है, तो यह दस्तावेज़ देखें. इससे, एपीआई पासकोड सेट अप करने का तरीका पता चलेगा.

जैसा कि निजता से जुड़े सुझाव सेक्शन में बताया गया है, एक जैसी सेटिंग वाले लक्ष्यों को पूरा करने के लिए, क्लाइंट वेंडर को एक ही जगह से पासकोड डिस्ट्रिब्यूशन का इन्फ़्रास्ट्रक्चर सेट अप करने का सुझाव दिया जाता है, ताकि इस एंडपॉइंट से कुंजी फ़ेच की जा सके और बाद में इसे अपने क्लाइंट ऐप्लिकेशन पर डिस्ट्रिब्यूट किया जा सके.

मुख्य मैनेजमेंट दिशा-निर्देशों के मुताबिक, सर्वर पर कुंजियां नियमित रूप से रोटेट की जाती हैं. डिक्रिप्शन विफलताओं से बचने के लिए, क्लाइंट को कुंजी को रीफ़्रेश करना चाहिए, जैसे कि कुंजी की लोकल कॉपी को समय-समय पर फ़ेच और अपडेट करना.

क्लाइंट को सार्वजनिक कुंजी को दिन में एक बार रीफ़्रेश (फ़ेच और अपडेट) करना चाहिए. अगर एक ही जगह से डिस्ट्रिब्यूशन का कोई तरीका इस्तेमाल किया जा रहा है, तो इस तरीके को यह पक्का करना चाहिए कि कुंजियों को दिन में एक बार फ़ेच और डिस्ट्रिब्यूट किया जाए.

OHTTP एनकैप्सुलेटेड अनुरोध

यह एंडपॉइंट, पोस्ट अनुरोध के एचटीटीपी मुख्य हिस्से में शामिल ओएचटीटीपी अनुरोध को प्रोसेस करेगा. इसके लिए, अनुरोध को डिक्रिप्ट किया जाएगा और बाद में OHTTP जवाब को एन्क्रिप्ट (सुरक्षित) किया जाएगा, ताकि एचटीटीपी रिस्पॉन्स में रिले को वापस भेज दिया जा सके. क्लाइंट को एचटीटीपी पोस्ट अनुरोध में, Content-Type अनुरोध के हेडर को message/ohttp-req के तौर पर शामिल करना होगा.

POST https://safebrowsingohttpgateway.googleapis.com/v1/ohttp:handleOhttpEncapsulatedRequest?key=<API key>

ध्यान दें: आरएफ़सी के दिशा-निर्देश के मुताबिक, अंदरूनी अनुरोध को बाइनरी एचटीटीपी प्रोटोकॉल, आरएफ़सी 9292 का इस्तेमाल करके कोड में बदलें (सुरक्षित ब्राउज़िंग का अनुरोध बनाने के बारे में V5 का दस्तावेज़ देखें).

क्लाइंट-साइड लागू करने का सैंपल

        auto ohttp_key_cfgs = quiche::ObliviousHttpKeyConfigs::ParseConcatenatedKeys(std::string public_key);
        auto key_config = ohttp_key_cfgs->PreferredConfig();
        auto public_key = ohttp_key_cfgs->GetPublicKeyForId(key_config.GetKeyId())
        auto ohttp_client = quiche::ObliviousHttpClient::Create(public_key, key_config);

    quiche::BinaryHttpRequest::ControlData bhttp_ctrl_data{
      .method = "POST",
      .scheme = "https",
      .authority = "safebrowsing.googleapis.com",
      .path = "/v5/hashes:search?key=<API key>&hashPrefixes=<HASH prefix 1>&hashPrefixes=<HASH prefix 2>",
    };
    quiche::BinaryHttpRequest bhttp_request(bhttp_ctrl_data);

      auto bhttp_serialized = bhttp_request.Serialize();
      auto ohttp_request = ohttp_client.CreateObliviousHttpRequest(*bhttp_serialized);
      //  Client must include this in POST body, and add `Content-Type` header as "message/ohttp-req".
      auto payload_include_in_post_body = ohttp_request.EncapsulateAndSerialize();

      auto ctx = std::move(ohttp_request).ReleaseContext();
      auto ohttp_response = ohttp_client.DecryptObliviousHttpResponse("data included in body of http_response", ctx);

      auto bhttp_response = BinaryHttpResponse::Create(ohttp_response.GetPlaintextData());
      if (bhttp_response.status_code() == 200) {
        auto http_response = bhttp_response.body();
        auto response_headers = bhttp_response.GetHeaderFields();
      }