SQRL

SQRL
SQRL
Тип	Защита входа на веб-сайт и аутентификация
Автор	Стив Гибсон
Разработчик	Стив Гибсон[вд]
Операционная система	Кросс-платформенный
Языки интерфейса	56 языков
Состояние	Активно
Лицензия	Открытая
Сайт	grc.com/sqrl/sqrl.htm

SQRL или Secure, Quick, Reliable Login (произносится как «squirrel» /ˈskwɝl/) — это проект открытого стандарта для безопасного входа на веб-сайт и аутентификации. Программное обеспечение обычно использует QR-код, который обеспечивает проверку подлинности, где пользователь идентифицируется анонимно вместо того, чтобы предоставлять логин и пароль пользователя. Этот метод считается невосприимчивым к перебору паролей или утечки данных. SQRL предложил Стив Гибсон^[англ.] и его компания Gibson Research Corporation в октябре 2013 года как способ упростить процесс проверки подлинности, без предоставления каких-либо сведений третьей стороне.

Идея

Протокол является ответом к задаче идентичности фрагментации. Он улучшает протоколы, такие как oAuth и OpenID, которые не требуют от третьей стороны выступать в роли посредника и не дают серверу третьей стороны никаких секретов защиты (имя пользователя или пароль). Кроме того, он обеспечивает стандарт, который может быть свободно использован для упрощения процесса входа в менеджер паролей, например LastPass. И, что ещё более важно, стандарт является открытым, поэтому ни одна компания не может извлечь выгоду из обладания этой технологией.

Пример использования

Для протокола, используемого на сайте, необходимы две составляющие:

Реализация, которая отображает QR-код или специально созданный URL-адрес согласно спецификации протокола, является частью веб-сервиса, к которому осуществляется аутентификация.
Плагин для браузера или мобильного приложения, который может прочитать этот код в целях обеспечения безопасной аутентификации.

В SQRL клиент использует одностороннюю функцию и единый мастер-пароль пользователя для расшифровки секретного мастер-ключа. Ключ генерируется в сочетании с названием сайта (включая доменное имя и, по желанию, дополнительный суб-идентификатор^{[неизвестный термин]} сайта: «example.com», «example.edu/chessclub») (суб-)сайт-специфическую пару публичный/приватный ключ. Он использует криптографический токен с закрытым ключом и дает общий ключ к сайту, так, что он может проверить зашифрованные данные.

Фишинг-защита

SQRL имеет некоторые конструктивные особенности в виде преднамеренной фишинг-защиты,^[1] но она в основном предназначена для проверки подлинности, а не как «антифишинг», несмотря на то, что имеет некоторые «антифишинг» свойства.^[2]

История

Аббревиатуру SQRL придумал Стив Гибсон, а протокол составлен, обсуждён и проанализирован им самим и сообществом Интернет-безопасности энтузиастов на news.grc.com в группе новостей и во время его еженедельного подкаста, Security Now!, 2 октября 2013 года. В течение двух дней после выхода в эфир этого подкаста, консорциум W3C и Google выразили заинтересованность в работе над стандартом.^[3]

Тезисы SQRL были проанализированы и обнаружили, что «это, кажется, интересный подход, как в плане предполагаемой работы пользователя, так и с точки зрения криптографии. В целом SQRL хорошо зарекомендовал себя в криптографии».^[4]

Ряд доказательств принципиальной схемы реализации были сделаны для разнообразных платформ, в том числе и для сервера:

PHP^[5]
Drupal^[6]
C# .NET^[7]

И для клиента:

Android^[8]^[9]^[10]
C# .NET^[7]
Java^[11]
Python^[12]

Существуют различные серверы тестирования и отладки:

Правовые аспекты

Стив Гибсон заявляет, что SQRL является «открытым и бесплатным, как это должно быть».^[13] В то время как SQRL вызвал большое внимание к механизму аутентификации на основе QR-кода, предложенный протокол был запатентован ещё раньше и, как правило, не должен быть доступен для использования в свободном доступе.^[14] Но Гибсон говорит: «Что эти ребята которые делают, как описано в патенте^[15] в корне отличается от способов работы SQRL, так что не было бы никаких конфликтов между SQRL и их патентом. На первый взгляд, используемый 2D код для проверки подлинности вроде бы „похожие“… и внешне точно такие же решения. Но все детали очень важны, и способы работы SQRL полностью отличаются в деталях.»^[16]

Примечания

↑ Gibson, Steve (2014).
↑ «Details about phishing defenses and limitations» Архивная копия от 29 июня 2017 на Wayback Machine. grc.com. 2013-12-06.
↑ «Security Now! #425 SQRL Q&A #176 (Transcript)» Архивная копия от 19 января 2019 на Wayback Machine. 2013-10-09.
↑ «Security Analysis and Implementation of the SQRL Authentication Scheme» Архивная копия от 2 апреля 2015 на Wayback Machine.
↑ trianglman/sqrl · GitHub (неопр.). Дата обращения: 19 декабря 2015. Архивировано 11 июня 2018 года.
↑ Secure QR Login | Drupal.org (неопр.). Дата обращения: 19 декабря 2015. Архивировано 22 апреля 2016 года.
↑ ¹ ² jestin/SqrlNet · GitHub (неопр.). Дата обращения: 19 декабря 2015. Архивировано 27 июня 2018 года.
↑ geir54/android-sqrl · GitHub (неопр.). Дата обращения: 19 декабря 2015. Архивировано 11 июня 2018 года.
↑ Архивированная копия (неопр.). Дата обращения: 17 марта 2015. Архивировано 2 апреля 2015 года.
↑ Архивированная копия (неопр.). Дата обращения: 19 декабря 2015. Архивировано 16 февраля 2015 года.
↑ TheBigS/SQRL · GitHub (неопр.). Дата обращения: 19 декабря 2015. Архивировано из оригинала 17 марта 2015 года.
↑ bushxnyc/sqrl · GitHub (неопр.). Дата обращения: 19 декабря 2015. Архивировано 11 июня 2018 года.
↑ «SQRL / Gibson Research» Архивная копия от 2 октября 2017 на Wayback Machine. grc.com.
↑ «SQRL is not really new» Архивная копия от 28 октября 2017 на Wayback Machine.
↑ Method and system for authenticating a user by means of a mobile device US 20100070759 A1 (неопр.). Дата обращения: 19 декабря 2015. Архивировано 23 февраля 2017 года.
↑ «Secure Quick Reliable Login» Архивная копия от 29 июня 2017 на Wayback Machine. grc.com.

Ссылки

Grc.com
Ghacks.net
SQRL Illustrated Guide
Techrepublic review: SQRL: A new method of authentication with QR codes
«Authentication without Passwords Implementing SQRL» — Intel презентация Даниеля Холмлунда в 2014 «HTML5 с конференции разработчиков»
www.sqrl.pl Google Play Store — тест реализации SQRL

[1] Gibson, Steve (2014).

[2] «Details about phishing defenses and limitations» Архивная копия от 29 июня 2017 на Wayback Machine. grc.com. 2013-12-06.

[3] «Security Now! #425 SQRL Q&A #176 (Transcript)» Архивная копия от 19 января 2019 на Wayback Machine. 2013-10-09.

[4] «Security Analysis and Implementation of the SQRL Authentication Scheme» Архивная копия от 2 апреля 2015 на Wayback Machine.

[5] trianglman/sqrl · GitHub (неопр.). Дата обращения: 19 декабря 2015. Архивировано 11 июня 2018 года.

[6] Secure QR Login | Drupal.org (неопр.). Дата обращения: 19 декабря 2015. Архивировано 22 апреля 2016 года.

[autogenerated1-7] ¹ ² jestin/SqrlNet · GitHub (неопр.). Дата обращения: 19 декабря 2015. Архивировано 27 июня 2018 года.

[8] r54/android-sqrl · GitHub (неопр.). Дата обращения: 19 декабря 2015. Архивировано 11 июня 2018 года.

[9] Архивированная копия (неопр.). Дата обращения: 17 марта 2015. Архивировано 2 апреля 2015 года.

[10] Архивированная копия (неопр.). Дата обращения: 19 декабря 2015. Архивировано 16 февраля 2015 года.

[11] TheBigS/SQRL · GitHub (неопр.). Дата обращения: 19 декабря 2015. Архивировано из оригинала 17 марта 2015 года.

[12] ushxnyc/sqrl · GitHub (неопр.). Дата обращения: 19 декабря 2015. Архивировано 11 июня 2018 года.

[13] «SQRL / Gibson Research» Архивная копия от 2 октября 2017 на Wayback Machine. grc.com.

[14] «SQRL is not really new» Архивная копия от 28 октября 2017 на Wayback Machine.

[patents-15] Method and system for authenticating a user by means of a mobile device US 20100070759 A1 (неопр.). Дата обращения: 19 декабря 2015. Архивировано 23 февраля 2017 года.

[16] «Secure Quick Reliable Login» Архивная копия от 29 июня 2017 на Wayback Machine. grc.com.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]