SQRL (SQRL)

Перейти к навигации Перейти к поиску
SQRL
Логотип программы SQRL
Тип Защита входа на веб-сайт и аутентификация
Автор Стив Гибсон
Разработчик Стив Гибсон[вд]
Операционная система Кросс-платформенный
Языки интерфейса 56 языков
Состояние Активно
Лицензия Открытая
Сайт grc.com/sqrl/sqrl.htm

SQRL или Secure, Quick, Reliable Login (произносится как «squirrel» /ˈskwɝl/) — это проект открытого стандарта для безопасного входа на веб-сайт и аутентификации. Программное обеспечение обычно использует QR-код, который обеспечивает проверку подлинности, где пользователь идентифицируется анонимно вместо того, чтобы предоставлять логин и пароль пользователя. Этот метод считается невосприимчивым к перебору паролей или утечки данных. SQRL предложил Стив Гибсон[англ.] и его компания Gibson Research Corporation в октябре 2013 года как способ упростить процесс проверки подлинности, без предоставления каких-либо сведений третьей стороне.

Протокол является ответом к задаче идентичности фрагментации. Он улучшает протоколы, такие как oAuth и OpenID, которые не требуют от третьей стороны выступать в роли посредника и не дают серверу третьей стороны никаких секретов защиты (имя пользователя или пароль). Кроме того, он обеспечивает стандарт, который может быть свободно использован для упрощения процесса входа в менеджер паролей, например LastPass. И, что ещё более важно, стандарт является открытым, поэтому ни одна компания не может извлечь выгоду из обладания этой технологией.

Пример использования

[править | править код]
Пример QR-кода, который создан для SQRL, может быть отсканирован или проверен на сайте на подлинность.

Для протокола, используемого на сайте, необходимы две составляющие:

В SQRL клиент использует одностороннюю функцию и единый мастер-пароль пользователя для расшифровки секретного мастер-ключа. Ключ генерируется в сочетании с названием сайта (включая доменное имя и, по желанию, дополнительный суб-идентификатор[неизвестный термин] сайта: «example.com», «example.edu/chessclub») (суб-)сайт-специфическую пару публичный/приватный ключ. Он использует криптографический токен с закрытым ключом и дает общий ключ к сайту, так, что он может проверить зашифрованные данные.

Фишинг-защита

[править | править код]

SQRL имеет некоторые конструктивные особенности в виде преднамеренной фишинг-защиты,[1] но она в основном предназначена для проверки подлинности, а не как «антифишинг», несмотря на то, что имеет некоторые «антифишинг» свойства.[2]

Аббревиатуру SQRL придумал Стив Гибсон, а протокол составлен, обсуждён и проанализирован им самим и сообществом Интернет-безопасности энтузиастов на news.grc.com в группе новостей и во время его еженедельного подкаста, Security Now!, 2 октября 2013 года. В течение двух дней после выхода в эфир этого подкаста, консорциум W3C и Google выразили заинтересованность в работе над стандартом.[3]

Тезисы SQRL были проанализированы и обнаружили, что «это, кажется, интересный подход, как в плане предполагаемой работы пользователя, так и с точки зрения криптографии. В целом SQRL хорошо зарекомендовал себя в криптографии».[4]

Ряд доказательств принципиальной схемы реализации были сделаны для разнообразных платформ, в том числе и для сервера:

И для клиента:

Существуют различные серверы тестирования и отладки:

Правовые аспекты

[править | править код]

Стив Гибсон заявляет, что SQRL является «открытым и бесплатным, как это должно быть».[13] В то время как SQRL вызвал большое внимание к механизму аутентификации на основе QR-кода, предложенный протокол был запатентован ещё раньше и, как правило, не должен быть доступен для использования в свободном доступе.[14] Но Гибсон говорит: «Что эти ребята которые делают, как описано в патенте[15] в корне отличается от способов работы SQRL, так что не было бы никаких конфликтов между SQRL и их патентом. На первый взгляд, используемый 2D код для проверки подлинности вроде бы „похожие“… и внешне точно такие же решения. Но все детали очень важны, и способы работы SQRL полностью отличаются в деталях.»[16]

Примечания

[править | править код]
  1. Gibson, Steve (2014).
  2. «Details about phishing defenses and limitations» Архивная копия от 29 июня 2017 на Wayback Machine. grc.com. 2013-12-06.
  3. «Security Now! #425 SQRL Q&A #176 (Transcript)» Архивная копия от 19 января 2019 на Wayback Machine. 2013-10-09.
  4. «Security Analysis and Implementation of the SQRL Authentication Scheme» Архивная копия от 2 апреля 2015 на Wayback Machine.
  5. trianglman/sqrl · GitHub. Дата обращения: 19 декабря 2015. Архивировано 11 июня 2018 года.
  6. Secure QR Login | Drupal.org. Дата обращения: 19 декабря 2015. Архивировано 22 апреля 2016 года.
  7. 1 2 jestin/SqrlNet · GitHub. Дата обращения: 19 декабря 2015. Архивировано 27 июня 2018 года.
  8. geir54/android-sqrl · GitHub. Дата обращения: 19 декабря 2015. Архивировано 11 июня 2018 года.
  9. Архивированная копия. Дата обращения: 17 марта 2015. Архивировано 2 апреля 2015 года.
  10. Архивированная копия. Дата обращения: 19 декабря 2015. Архивировано 16 февраля 2015 года.
  11. TheBigS/SQRL · GitHub. Дата обращения: 19 декабря 2015. Архивировано из оригинала 17 марта 2015 года.
  12. bushxnyc/sqrl · GitHub. Дата обращения: 19 декабря 2015. Архивировано 11 июня 2018 года.
  13. «SQRL / Gibson Research» Архивная копия от 2 октября 2017 на Wayback Machine. grc.com.
  14. «SQRL is not really new» Архивная копия от 28 октября 2017 на Wayback Machine.
  15. Method and system for authenticating a user by means of a mobile device US 20100070759 A1. Дата обращения: 19 декабря 2015. Архивировано 23 февраля 2017 года.
  16. «Secure Quick Reliable Login» Архивная копия от 29 июня 2017 на Wayback Machine. grc.com.