Ateitis be slaptažodžio: kurkite saugesnes ir tinkamesnes autentifikavimo sistemas

Slaptažodžių pakeitimas asmeniniais raktais lengvai suprantamoje metaforoje

Įdiegę „EOSIO Labs ™“ iniciatyvą, mes pradėjome naujoves atvirai, kalbant apie „EOSIO“ sukurtų „blockchain“ technologijų ateitį. Pirmasis mūsų leidimas pagal šią iniciatyvą tyrinėja privataus rakto tvarkymo ateitį ir jo įtaką saugumui bei raktų valdymui - Universal Authenticator Library (UAL). Šios laidos filosofija grindžiama didesnės problemos, susijusios su slaptažodžių ir autentifikavimo įgyvendinimu internete, „blockchain“ ar kitu būdu, tyrimu. Nors prie šio įrašo nėra programinės įrangos leidimo, šiame straipsnyje siekiama aptarti problemas, kurios vargina egzistuojančias autentifikavimo sistemas, ir šiuolaikinius bandymus peržengti slaptažodžius, susijusius su tokiomis problemomis. Tada abstrakčiai pasiūlysime naują modelį, naudojant „leidimo“ metaforą, pavyzdžiui, lėktuvo bilietą ar bibliotekos kortelę, kad būtų galima saugiai ir naudingai išspręsti šias problemas.

Hearžio problema

Dabartiniai vartotojų autentifikavimo metodai kenčia nuo to, ką mes vadinsime „Hearsay problema“. „Hearsay“ yra bet kokia iš vienos šalies gauta informacija apie antrosios šalies pareiškimus ar veiksmus, kuri negali būti tinkamai pagrįsta. Mūsų požiūris yra tas, kad visa informacija, gauta iš sistemų, kurios remiasi naujausiais šiuolaikiniais vartotojų autentifikavimo metodais, būtų laikoma paprasčiausiomis įkalbomis, jei kuri nors iš dalyvaujančių šalių suabejotų informacijos teisingumu.

Norėdami iliustruoti, įsivaizduokite prastai gautą socialinės žiniasklaidos įrašą, kurį tariamai sukūrė žinomas politikas, grasinantis sunaikinti politiko karjerą. Kaip mes tikrai žinome, kad politikas iš tikrųjų paskelbė prakeikimo įrašą? Nors autorius iš tikrųjų galėjo būti aptariamas politikas, jis taip pat galėjo būti bet kuris asmuo, turintis prieigą prie politiko socialinės žiniasklaidos paskyros. Norėdami išplėsti šį samprotavimą, į galimų „autorių“ sąrašą gali būti įtrauktas bet koks skaičius politikams artimų žmonių arba priešininkų puolėjai. Tačiau niekas, įskaitant politiką ir socialinės žiniasklaidos paslaugų teikėją, negalės pateikti įtikinamų, aplinkybių neapimančių įrodymų, kad politikas buvo ar nebuvo galutinai aptariamo įrašo autorius.

Norint vartoti teisinę ir techninę terminologiją, ši savybė vadinama atmestinumu, ir tai nėra pageidaujamas bruožas. Du pagrindiniai veiksniai lemia šią paneigiamumo savybę aukščiau esančiame mūsų socialinės žiniasklaidos pavyzdyje; pirmas veiksnys yra autentifikavimo schema, reikalaujanti atskleisti paslaptį, kad būtų patvirtintas tos paslapties turėjimas. Saugumo schemose (tokiose kaip slaptažodžiai), kurioms taikomas šis veiksnys, neįmanoma sukurti vartotojo veiklos žurnalų, kuriuos patikrintų niekas, išskyrus šalį ir kitą sandorio šalį. Antras veiksnys yra priemonių, įrodančių, kad sistemoje esantys duomenys, kurie iš tikrųjų atspindi vartotojo ketinimus, stoka, priveda prie kitos problemos, kurią mes vadiname „tuščiu čekiu“.

Tuščio patikrinimo problema

Tuščio patikrinimo problema yra bet kurioje sistemoje, kuri gali imtis veiksmų vartotojo vardu, nereikalaujant vartotojo aiškaus sutikimo dėl to konkretaus veiksmo. Taip pat yra tuo atveju, jei vartotojo sutikimo fiksavimo priemonė yra kažkas, kas nėra įrodymas, jog vartotojas buvo informuotas apie kiekvieno individualaus veiksmo padarinius ir aiškiai sutiko su kiekvienu veiksmu.

Aukščiau pateiktame pavyzdyje ši problema įtraukia pačią socialinės žiniasklaidos tarnybą ir daugelį jos darbuotojų į sąrašą šalių, kurios galėjo paskelbti prakeikimo įrašą. Kaip galime įrodyti, kad socialinės žiniasklaidos tarnyba ar vienas iš jos darbuotojų neturėjo kompromituojančių galimybių „pasiųsti“ politiko vardu? Aukštesnio lygio šios problemos, rodančios pavadinimo „Tuščio čekio problema“ tinkamumą, pavyzdys yra banko sąskaita. Techniškai kalbant, niekas netrukdo jūsų bankui likviduoti ar užrakinti jūsų lėšas ir nėra galimybių įrodyti, kad neteisingai elgiatės, nes bankas galėjo surašyti iš pažiūros teisėtas operacijas. Be abejo, tai sukeltų rimtų padarinių, kurie materialiai paveikia daugelį suinteresuotųjų šalių.

„Du tapk viena“

Atkaklus stebėtojas galėjo pastebėti, kad šios problemos iš tikrųjų yra du tos pačios pagrindinės problemos padariniai: trūksta įrodomų audito žurnalų. Nors yra technologijų, kurios pašalina šį esminį dabartinių mūsų sistemų trūkumą, pavyzdžiui, asimetrine kriptografija pagrįstos pažymėjimais pagrįstos sistemos, jos dar neturi pasiekti tokio patogumo vartotojui lygio, kuris jas padarytų prieinamas plačiajai visuomenei. Spręsdami šį iššūkį su lengvai suprantamomis metaforomis teoriniam sprendimui, kurį pateiksime žemiau, turime galimybę pagerinti visų mūsų sistemų saugumą ir pritaikomumą kiekvienam vartotojui ir patobulinti vartotojų patirtį procese. .

Slaptažodžiai

Aptariant kibernetinį saugumą, turėtų būti apibrėžtos dvi pagrindinės sąvokos: „autentifikavimas“ - tai procesas, kurio metu vartotojas įrodo esąs tas, kuris, jų teigimu, turi tam tikrus identifikuojančius kredencialus, paprastai su vartotojo vardu ir slaptažodžiu; ir „įgaliojimas“, tai yra procesas, kurio metu leidžiami arba ribojami vartotojo veiksmai programinės įrangos platformoje atsižvelgiant į jų tapatybę.

Nuo 1960 m. Slaptažodžiai buvo de facto metodas, leidžiantis vartotojui autentifikuoti savo įrenginį ar paslaugą. Slaptažodžio atpažinimas iki šiol inžinieriams yra gerai suprantama technologija. Vartotojams slaptažodžiai tapo paprasta suvokti; jie yra patogūs ir pažįstami net netechnikos vartotojams. Nors jų paprastumas ir žinomumas yra privalumas, slaptažodžiai taip pat kenčia nuo daugelio trūkumų.

Tokie trūkumai yra ir technologinio, ir žmogiškojo pobūdžio. Kai kurie iš jų buvo plačiai aptariami, įskaitant išsamų NIST skaitmeninės tapatybės gairių aprašymą, todėl jų čia nekartosime. Tačiau svarbu atsiminti, kad slaptažodžiai neįgalina patikimų audituojamų veiksmų, kuriuos vartotojas suteikė, žurnalų. Norėdami autentifikuotis slaptažodžiu, jis turi būti atskleistas, o paslaugų teikėjai, norėdami patikrinti vartotojo slaptažodžio galiojimą, turi juos saugoti kažkokioje centralizuotoje infrastruktūroje. Tai reiškia, kad niekas, išskyrus paslaugų teikėją, negali patikėti, kad visi jų saugomi audito žurnalai yra tikslūs vartotojo veiksmų atvaizdai. Dėl šios priežasties sistemoms, kurios autentifikuoja slaptažodžius, taikoma ir „Hearsay“ problema, ir „tuščio patikrinimo“ problema, kaip aprašyta aukščiau.

Šiuolaikiniai bandymai pagerinti ar pakeisti slaptažodžius

Bėgant metams buvo keletas bandymų laipsniškai tobulinti ar pakeisti slaptažodžius. Žemiau apžvelgsime keletą sėkmingiausių atvejų kartu su jų stipriosiomis ir silpnybėmis.

Slaptažodžio tvarkytojai

Slaptažodžių tvarkytojų buvimas rodo, kad yra keletas pagrindinių slaptažodžių trūkumų. Jie bando pagerinti situaciją, atlaisvindami vartotoją nuo poreikio generuoti ir atsiminti pakankamai sudėtingus slaptažodžius, tokiu būdu leidžiant naudoti vienos paskirties slaptažodžius, kurie atitiktų daug aukštesnį saugumo griežtumo lygį.

Naudojant teisingai, slaptažodžių tvarkytojai pagerina saugumą ir, tam tikru mastu, sistemų, naudojančių slaptažodžių pagrįstą autentifikaciją, tinkamumą. Bet kas, bandęs išmokyti savo tėvus, vaikus ar netechninius draugus naudotis šiandienos slaptažodžio tvarkyklės programinės įrangos kartojimais, skausmingai žino, kad jie nėra nei plačiai pritaikyti, nei pakankamai naudojami, kad tokiu taptų.

Žvelgiant iš techninės perspektyvos, nėra slaptažodžių tvarkytojų standartų. Jie bando atspėti, kada vartotojas sukuria abonementą, prisijungia arba atnaujina slaptažodį, kad būtų patogiau, tačiau jie dažnai nepavyksta. Jie yra pagrindas patobulintam sprendimui, tačiau galiausiai jie yra tik slaptažodžiai ir vis dar yra susiję su „Hearay“ ir „The Blank Check“ problemomis.

Dviejų faktorių autentifikavimas

Pripažįstant slaptažodžių trūkumus, buvo bandoma įdiegti papildomą saugumą, siekiant įsitikinti, kad pats slaptažodis nėra vienintelis gedimo taškas. Šis metodas paprastai vadinamas antruoju veiksniu arba dviejų veiksnių autentifikavimu (2FA). Yra daugybė 2FA diegimų, ir nors jie visi prideda skirtingą laipsnio laipsnišką slaptažodžiu pagrįstų autentifikavimo sistemų laipsnį, jie ją sukuria dar sudėtingesne sąrankos ir galutinio vartotojo veikimo prasme. Įprastas 2FA sprendimas yra pagrįstas SMS žinutėmis, kad būtų pateikiami laiku pagrįsti vienkartiniai slaptažodžiai (OTP). Dviejų veiksnių sprendimai, kaip ir patys slaptažodžiai, kenčia nuo problemos, kad jie nėra tikrinami, ir yra pažeidžiami telefonų nešėjų, teikiančių SMS žinutes į jūsų įrenginį, saugumo praktikai.

Šis neįrodomas girdimumo trūkumas reiškia, kad 2FA vis tiek neišsprendžia „Hearsay“ ar „The Blank Check“ problemų.

„WebAuthn“ standartas

„WebAuthn“ yra naujas autentifikavimo standartas, kurį pasiūlė „World Wide Web Consortium“ (W3C), tarptautinė organizacijų narių bendruomenė, visu etatu dirbantys darbuotojai ir visuomenė kartu kurdami interneto standartus. „WebAuthn“ yra labai arti visų šių internetinių operacijų problemų sprendimo, naudodama asimetrinę kriptografiją, o ne slaptažodžius, pateikdama vieną iš būtinų ingredientų mūsų nurodytoms problemoms įveikti. Tačiau tam, kad vartotojai, praradę savo įrenginius, nebūtų užrakinti bet kurioje paslaugoje, „WebAuthn“ yra sukurta naudoti kartu su slaptažodžiais, o ne kaip pakaitalas.

Kitas svarbus „WebAuthn“ apribojimas yra tas, kad jis buvo sukurtas kaip buvimo įrodymas, o ne kaip sutikimo įrodymas. Neapibrėžta, kad būtų leidžiamos kiekvienos operacijos autorizacijos užklausos, kurias galėtų patikrinti kolegos. Taigi, dar kartą, sistemose, kurios remiasi „WebAuthn“, nėra patikrinamų audito žurnalų ir joms taikoma „Hearay Problema“ ir „The Blank Check“ problema.

„Blockchain“ kaip galimas sprendimas

„Blockchains“ išpopuliarino idėją autentifikuoti vartotoją kiekvienam jų leidžiamam veiksmui, šiam tikslui pasitelkiant viešojo rakto kriptografinį operacijų pasirašymą. Tai yra didelis slaptažodžių patobulinimas ir žingsnis daugiau nei gali suteikti „WebAuthn“. Tai taip pat patenkina pirmąjį veiksnį, būtiną „Hearay“ problemai spręsti: įrodomą klausomumą.

Deja, šiandieninės „blockchain“ vartotojo sąsajos taip pat neapibrėžia standarto, kaip aprašyti autorizacijos užklausas vartotojams draugiškai, kad jas būtų galima pateikti patikimame kontekste vartotojui patvirtinti. Neturėdami šio žmonėms pritaikyto prašymo, kuris pateiktų standartą, vartotojai negali žinoti, su kuo sutinka. Tai reiškia, kad nors blokinės grandinės sukuria patikrinamą audituojamą žurnalą, jiems trūksta priemonių įrodyti, kad sistemos duomenys iš tikrųjų atspindi vartotojo ketinimus. Taigi jie vis dar susiduria su „Hearsay“ ir „tuščiojo tikrinimo“ problemomis.

Grįžtant prie mūsų socialinės žiniasklaidos pavyzdžio, jei socialinės žiniasklaidos platforma būtų pastatyta ant grandinės grandinės, jie galėtų įrodyti, kad minėtas politikas iš tikrųjų pasirašė veiksmą, dėl kurio buvo paskelbtas postas, tačiau jie negalės įrodyti kad jie (ar kita partija) neklaidino politiko pasirašyti akto klaidingai jį pateikdami.

Teorinis sprendimas: vietoj raktų ar slaptažodžių įrašomi „leidimai“

Norėdami padidinti savo sistemų saugumą, mums reikia vartotojo sutikimo įrodymų, kartu pateikiant paprastumo ir patogumo lygį, viršijantį net slaptažodžius. Tai reiškia, kad privalome perduoti sudėtingas technologijas, tokias kaip asimetrinė kriptografija, per metaforą, kuri yra suprantama visiems vartotojams, ne tik technologams. Viena iš šių kriterijų atitinkančių sąvokų yra „išlaikymas“. Apibūdindami leidimo sąvoką, parodysime, kaip šis teorinis sprendimas dėl leidimo, naudojamo „Pass Manager“ programoje, gali patenkinti mūsų pateiktą „Hearay“ problemą ir „tuščio patikrinimo“ problemą.

Vartotojams leidimas yra žinoma ir apčiuopiama priemonė įrodyti, kad turite įgaliojimą. Kiekvieną dieną mes sąveikaujame su fiziniais leidimais kaip savo kasdienės rutinos dalimi. Jūs, kaip bibliotekos vartotojas, tiesiog parodote ir pateikiate savo bibliotekos kortelę. Jūs, kaip oro transporto keleivis, tiesiog pasirodysite ir pateiksite savo bilietą. Tai yra vienkartinių leidimų pavyzdžiai, jei paslaugų, kurios neteikia vieno tikslo leidimų, galite pateikti vairuotojo pažymėjimą, kad patvirtintumėte savo tapatybę.

Norėdami paremti autentifikavimo ir autorizacijos naudojimo atvejus, pristatome skaitmeninio „Pass Manager“ sąvoką. „Pass Manager“ yra be slaptažodžio naudojama registravimo, autentifikavimo ir autorizacijos naudojimo atvejų paradigma.

Ką galėtum padaryti su „Pass Manager“?

Išdavimas ir atšaukimas

  • Paslaugų teikėjai gali paprašyti „Pass Manager“ išduoti vartotojui naują leidimą.
  • Vartotojai galėjo suskirstyti savo leidimus į grupes. (pvz., mano darbo leidimai ir asmeniniai leidimai)
  • Naudotojai galėjo leisti ir panaikinti leidimus iš kelių įrenginių.

Autentifikavimas

  • Paslaugų teikėjai galėjo paprašyti įrodyti, kad vartotojas turi leidimą.
  • Vartotojai galėjo įrodyti, kad turi leidimą.

Leidimas

  • Paslaugų teikėjai gali paprašyti įrodyti vartotojo leidimą atlikti tam tikrą veiksmą pagal vartotojo turimą leidimą.
  • Naudotojai, gavę leidimą, galėjo pamatyti aiškiai žmonėms pateiktą prašymą suteikti leidimą ir pasirinkti, ar leisti veiksmą.

Kaip „Pass Manager“ veiktų?

„Pass Manager“ įgyvendina (dar neapibrėžtą) leidimų išdavimo ir atšaukimo, autentifikavimo ir leidimų su leidimais protokolą. Leidimas yra koncepcinė abstrakcija, kurioje pateikiama kredencialų informacija (raktai).

Skaitmeninio „Pass Manager“ naudojimo patirtis turėtų būti labai panaši į fizinį „pass“ kortelių analogą. Vartotojas paprasčiausiai atvyksta į paslaugą (nesvarbu, ar tai žiniatinklio programa, ir sava programa, pardavimo taškų sistema, ar kioskas), ir pateikia leidimą prisijungti arba įgalioti veiksmą. Tai yra tarsi kolegijos studentas, kuris naudojasi savo koledžo ID norėdamas patekti į kolegialų sporto renginį, tada, naudodamas jį maistui nusipirkti stende su savo universiteto miestelio pietų balansu, jam prieš pateikiant operacijas pateikiami užsakymo patvirtinimai.

Po gaubtu, derinant technologijas, gali būti sukurtas aukščiausias saugumas ir patogumas vartotojams, įskaitant kriptografinį pasirašymą, aparatinės įrangos raktus ir biometrinius duomenis kredencialų saugumui, taip pat transportavimo-agnostikos protokolą perkeliamumui.

Kai tik vartotojo sutikimo prašo „Pass Manager“, vartotojui turėtų būti parodyti žmonėms pritaikyti veiksmo aprašymai, o tas aprašymas (arba jo kriptografiškai patikrinama išvestinė) turėtų būti įtrauktas į pasirašytą „Pass Manager“ atsakymą. Raktų naudojimas reiškia, kad žurnalai yra nepaneigiami ir juos gali patikrinti trečiosios šalys, o žmonėms skirto aprašymo įtraukimas į pasirašytą atsakymą gali būti vartotojo ketinimo įrodymas. Šios savybės išsprendžia „Hearay“ ir „tuščiojo patikrinimo“ problemas.

Šis modelis gali palaikyti tiek dabartines žiniatinklio technologijas, tiek būsimus „blockchain“ technologijos naudojimo atvejus. Tai taip pat gali suteikti aiškią vartotojo patirtį prisijungimo ir autorizacijos atvejais.

Ko reikia, kad leidimų vadybininkai būtų sėkmingi?

Sąveikumas

Visų pirma, „Pass Manager“ protokolas turėtų būti sukurtas tam, kad vartotojai galėtų laisvai pasirinkti „Pass Manager“, kuris geriausiai atitiktų jų poreikius. Tai svarbu, nes užkerta kelią pardavėjų įsitraukimui, sukuriant laisvą rinką, būtiną tiek saugumo, tiek vartotojo patirties naujovėms skatinti. Tokiu būdu laimės geriausia vartotojo patirtis su priimtinu saugumu.

Norint suteikti šią pasirinkimo laisvę, reikės standartinių registracijos, prisijungimo ir autorizacijos protokolų. Visų pirma autorizavimas yra įdomus iššūkis, nes reikia apibrėžti standartą, apibūdinantį vartotojams pateiktus prašymus suteikti leidimą suprantama, patikrinama, patikrinama ir perkeliama forma.

Perkeliamumas

Antra, „Pass Manager“ protokolas turėtų būti sukurtas perkeliamumui; reiškia: 1) visų programų ar paslaugų, veikiančių bet kurioje platformoje, palaikymą, 2) riboto tinklo ryšio nebuvimą ar jo nebuvimą, 3) kelių įrenginių palaikymą ir 4) kelių įrenginių ryšio palaikymą.

Vartotojai turi stalinius, nešiojamus kompiuterius, telefonus, planšetinius kompiuterius, išmaniuosius laikrodžius ir USB raktus. Taigi labai svarbu lengvai ir sklandžiai išduoti ir atšaukti prieigą prie kelių įrenginių. Vartotojai taip pat sąveikauja su prekybos taškų sistemomis, nepatikimais viešaisiais kompiuteriais, prekybos automatais ir kioskais. Taigi būtina turėti galimybę bendrauti iš vieno įrenginio į kitą, naudojant tinklo jungtį arba be jos, nereikia prietaisų pasitikėti vienas kitu.

Šiuos reikalavimus galima įvykdyti apibrėžus „Pass Manager“ protokolą, kad jis būtų transporto agnostinis. Tai reiškia, kad protokole pagrindinis dėmesys turėtų būti skiriamas daiktavardžių ir veiksmažodžių apibrėžimui, kuriuos įgyvendinančios sistemos turi mokėti laisvai kalbėti, ir leisti skirtis pernešimui, per kurį jie sakomi. Gabenimo pavyzdžiai gali būti tinkintų protokolų URL, „Apple Universal Links“, „Android Intents“, serverio užklausos, QR kodai, „Bluetooth“, NFC ir „JavaScript“ API. Dėl šio lankstumo „Pass“ valdytojai gali būti tikrai nešiojami.

Naudojamumas

Vartotojai neturėtų apsvarstyti pasekmių, ar jie naudojasi interneto paslauga su duomenų bazės užpakaline programa, ar „blockchain“ sistema. „Blockchain“ atveju jie neturėtų žinoti, kokioje „blockchain“ platformoje ar tinkle yra pastatyta jų naudojama programa. Jie turėtų tik apsvarstyti savo naudojimo atvejį. Dalykai, kaip…

„Aš išsiimu lėšas iš bankomato“.

„Aš prisijungiu prie savo el. Pašto adreso.“

„Man patinka įrašas socialinėje žiniasklaidoje“.

„Aš perku žetonus iš prekybos automatų“.

„Aš perkeliu 100 žetonų iš Dano į Brianą“.

Niekada tokie dalykai kaip ...

„Aš pasirašau operaciją su R1 raktu, įgaliotu naudoti mano„ blockchain11 “sąskaitą, pavyzdyje.com dapp, kuris yra pastatytas ant„ Telos “bloko grandinės, kuri yra pastatyta EOSIO platformoje.“

Sauga

Dabartiniai slaptažodžių ir viešojo rakto sistemų diegimai yra nesaugūs dėl įvairių priežasčių. Leidimų valdytojai turi padaryti geriau.

Norint apsaugoti vartotojus nuo atakų prieš centralizuotus prisijungimo duomenis, slapti kredencialų duomenys niekada neturėtų būti saugomi centralizuotoje infrastruktūroje (jų maišyti ir sūdyti nepakanka). Norėdami apsaugoti vartotojus nuo to, kad jų kredencialai nebūtų pavogti dėl sukčiavimo apsimetant, kenkėjiškų programų ir „viduryje žmogaus“ išpuolių, vartotojai niekada neturėtų žinoti, kas yra jų kredencialai, ir niekada neturėtų jų įvesti rankiniu būdu ar automatiškai į bet kurią paslaugą. Norėdami apsaugoti vartotojus nuo apgaulės pridedant kenksmingus leidimus, vartotojai neturėtų turėti galimybės patys pridėti ar pašalinti leidimų. Vietoj to patikimas leidimų tvarkytojas turėtų tai tvarkyti automatiškai vartotojo vardu, reaguodamas į tai, kad vartotojas lankosi naujose paslaugose ar gauna naujus įrenginius.

Ateitis yra plačiai atvira leidimų vadybininkams

Šiame straipsnyje mes išdėstėme problemas, kurias reikia išspręsti, siekiant išspręsti dabartinius šiuolaikinius vartotojų abonementų saugumo metodus, susijusius su saugumu ir tinkamumu naudoti. Mes pateikėme slaptažodžius pakeičiančių leidimų koncepciją ir skaitmeninį leidimų tvarkytuvą kaip šių problemų sprendimo būdą. Mes aptarėme būtinus „Pass Manager“ protokolo atributus, kad pasisektų, tačiau mes aiškiai neapibrėžėme šio protokolo. Mes skatiname iniciatyvius kūrėjus išspręsti problemas, apimančias ne tik slaptažodžių, bet ir raktų pagrindu sukurtas saugos sistemas, ir apsvarstyti leidimo metaforą kaip vieną iš būdų pasiekti šį tikslą.

Atsakomybės atsisakymas: „Block.one“ savanoriškai prisideda kaip EOSIO bendruomenės narė ir nėra atsakinga už viso programinės įrangos ar bet kokių susijusių programų veikimo užtikrinimą. Mes neteikiame jokių garantijų ar garantijų dėl čia aprašytų leidimų, susijusio „GitHub“ leidimo, EOSIO programinės įrangos ar bet kokių susijusių, išreikštų ar numanomų dokumentų, įskaitant, bet tuo neapsiribojant, garantijas ar tinkamumą prekiauti, tinkamumą konkrečiam tikslas ir nepažeidimas. Jokiu būdu neatsakome už jokius ieškinius, žalą ar kitokią atsakomybę, atsirandančią dėl sutarties, delikto ar kitokios, atsirandančios dėl programinės įrangos ar dokumentų ar dėl jų ar dėl jų naudojimo, ar dėl programinės įrangos naudojimo ar kitų sandorių, dokumentacija. Bet kokie bandymo rezultatai ar eksploataciniai parametrai yra orientaciniai ir neatspindės atlikimo bet kokiomis sąlygomis. Bet kokia nuoroda į trečiosios šalies ar trečiosios šalies gaminį, išteklius ar paslaugas nėra „Block.one“ pritarimas ar rekomendacija. Mes nesame atsakingi ir neatsisakome jokios atsakomybės ir atsakomybės už tai, kaip naudojatės šiais ištekliais ar jais pasitikite. Trečiųjų šalių ištekliai gali būti atnaujinti, pakeisti arba nutraukti bet kuriuo metu, todėl čia esanti informacija gali būti pasenusi arba netiksli. Kiekvienas asmuo, kuris naudojasi ar siūlo šią programinę įrangą teikdamas programinę įrangą, prekes ar paslaugas trečiosioms šalims, pataria toms trečiosioms šalims apie šias licencijos sąlygas, atsisakymą ir atsakomybės apribojimus. „Block.one“, „EOSIO“, „EOSIO Labs“, „EOS“, „heptahedron“ ir susiję logotipai yra „Block.one“ prekės ženklai. Kiti čia nurodyti prekių ženklai yra jų atitinkamų savininkų nuosavybė. Atkreipkite dėmesį, kad čia pateikti teiginiai yra „Block.one“ vizijos išraiška, o ne garantija už nieką, ir visi jos aspektai gali būti visais atžvilgiais keičiami „Block.one“ nuožiūra. Mes vadiname šiuos „į ateitį nukreiptais teiginiais“, į kuriuos įeina ir šio dokumento teiginiai, išskyrus istorinių faktų teiginius, tokius kaip teiginiai apie EOSIO plėtrą, numatomus rezultatus ir būsimas ypatybes arba mūsų verslo strategiją, planus, perspektyvas, pokyčius ir tikslus. Šie teiginiai yra tik spėjimai ir atspindi „Block.one“ dabartinius įsitikinimus ir lūkesčius dėl būsimų įvykių; Jie grindžiami prielaidomis ir yra rizikuojami, neaiškūs ir bet kada keičiami. Mes dirbame greitai besikeičiančioje aplinkoje. Retkarčiais iškyla nauja rizika. Atsižvelgiant į šią riziką ir netikrumą, jus perspėjama nepasikliauti šiais į ateitį nukreiptais teiginiais. Faktiniai rezultatai, atlikimas ar įvykiai gali iš esmės skirtis nuo to, kas prognozuojama į ateitį nukreiptuose teiginiuose. Kai kurie veiksniai, dėl kurių faktiniai rezultatai, veiklos rezultatai ar įvykiai gali smarkiai skirtis nuo į ateitį nukreiptų teiginių, yra be apribojimų: rinkos nepastovumas; nuolatinis kapitalo, finansavimo ir personalo prieinamumas; produkto priėmimas; naujų produktų ar technologijų komercinė sėkmė; varzybos; vyriausybės reglamentai ir įstatymai; ir bendrosios ekonominės, rinkos ar verslo sąlygos. Visi teiginiai galioja tik nuo pirmojo paskelbimo dienos, o „Block.one“ neprivalo ir aiškiai neprisiima įsipareigojimų atnaujinti ar pakeisti pareiškimus dėl naujos informacijos, vėlesnių įvykių ar kitaip. Jokia čia yra nei technologinė, nei finansinė, nei investicinė, nei teisinė, nei kita konsultacija nei apskritai, nei atsižvelgiant į kokią nors konkrečią situaciją ar įgyvendinimą. Prašome pasikonsultuoti su atitinkamų sričių ekspertais prieš įgyvendindami ar panaudodami ką nors šiame dokumente.