Вы, ребята, смотрели в это предложение, используя QR-коды для безопасных и анонимных логинов? Это теоретизировалось Стив Гибсон и оригинальная белая бумага может быть здесь. 

Короткое видео с описанием SQRL можно посмотреть здесь: http://youtu.be/ZrQboo3pA10

Это, кажется, действительно интересно, и я думаю, что адрес Bitcoin может быть использован в качестве мастер-ключа пользователя.




Что происходило за кулисами?

• QR-код представлен возле входа в строке содержит URL-адрес службы аутентификации для сайта. URL включает в себя надежно генерируемое длинное случайное число, так что каждое представление страницы входа отображает различные QR-код. (В криптографических кругах это долго случайное число известно как «нонс»).
• Приложение аутентификации SQRL смартфона криптографический хэш доменного имени сайта шпонки отмычка пользователя для получения пары открытого ключа конкретного объекта.
• Приложение криптографически подписывает весь URL, содержащийся в QR-код с помощью секретного ключа конкретного участка. Поскольку URL включает в себя безопасное длинное случайное число (нонс), подпись является уникальной для этого сайта и QR-кода.
• Приложение выдает безопасный запрос POST HTTPS для URL в QR-коде, который является службой проверки подлинности для сайта. POST предоставляет открытый ключ конкретного участка и согласование криптографической подпись URL в QR-коде.
• Аутентификации веб-сайт получает и подтверждает запрос POST, возвращая стандартный HTTP «200 OK» без другого содержания. SQRL приложение подтверждает успешное представление пользователя подписал QR кода.
• Сайт аутентификации имеет URL, содержащий одноразовый номер, который вернулся со страницы входа в систему с помощью смартфона пользователя. Она также имеет криптографическую подпись этого URL, и открытый ключ конкретного участка пользователя. Он использует открытый ключ для проверки того, что подпись действительна для URL. Это подтверждает, что пользователь, который произвел подпись используется секретный ключ, соответствующий открытому ключу. После проверки подписи, сайт аутентификации распознает теперь аутентификацию пользователя по их конкретным участкам открытого ключа.

Anonymous Identification & Аутентификация:

• SQRL ID:  Посетители веб-сайта идентифицируются по абсолютно анонимной SQRL ID. Их «SQRL ID» это просто их открытый ключ, описанный выше, 256-битное число. Же посетитель всегда представляет тот же идентификатор каждый раз, когда они посещают один и тот же сайт. Но нет двух посетителей никогда не будет иметь тот же идентификатор. Таким образом, один сайт может однозначно и анонимно идентифицировать каждый из своих посетителей.
• SQRL идентификаторы пользователя и для конкретного участка: Хотя тот же пользователь всегда представляет один и тот же идентификатор на тот же сайт, они представляют собой совершенно иной идентификатор любого другого сайта, который они посещают. Там нет никакого способа Свяжите SQRL ID представлено на один сайт с представленными на других сайтах. Другими слова, нет абсолютно никакой межсайтовой связи идентичности. Пользователи могут свободно использовать свою идентичность SQRL везде и всюду, потому что каждый сайт получает свой уникальный идентификатор SQRL.
• Не раздражает создание аккаунта: Предположим, вы хотите просто прокомментировать блоге. Вместо того, чтобы идти через раздражает процесс «создания учетной записи», чтобы однозначно идентифицировать себя новый веб-сайт (который такие сайты знают, заставляет их терять ценный трафик обратной связи), вы можете войти, используя вашу личность SQRL. Если сайт не сталкивался своим SQRL ID прежде, может запросить у вас «имя ручки», чтобы использовать для проводки. Но в любом случае, вы сразу же есть абсолютно безопасный и уникальный идентификатор в этой системе, где никто не может, возможно, выдавать себя за вас, и в любое время вы когда-нибудь вернуться, вы будете немедленно и однозначно известно. Нет учетной записи, ни имена пользователей и пароли. Ничто не помнить или забыть. Ваша личность SQRL устраняет все это.

Anonymous Identification & Аутентификация:

• Идентификация против подлинности:  SQRL с поддержкой веб-сайты имеют только ваш уникальный идентификатор SQRL раскрыть, и это полезно только для этого одного сайта, так как каждый пользователей SQRL ID является автоматически уникальным для каждого сайта они посещают. Там не должно быть любое имя пользователя или пароль для сайтов скомпрометировали, потеряны или украдены. Ваш SQRL ID не проверяет подлинность вашей личности, она только идентифицирует вас к этому один веб-сайт. Аутентификация требует смартфон приложения SQRL для криптографической подписи длинного случайного числа и возвращают его с ID SQRL (ваш открытый ключом). Таким образом, даже если хакер получить хранимую SQRL ID, это бесполезно для себя за вас, даже к тому, что один сайт, так как секретный ключ, необходимый для создания подписи никогда не покидает свой смартфон.
• Нет клавиатуры взаимодействия:  Представьте себе, что вы хотите войти в компьютер в небезопасном месте, например, в библиотеке или в гостинице. С SQRL, ваш Логин происходит без ввода каких-либо личных учетных данных в компьютер. Вы не дают имя пользователя или пароль, которые могут быть захвачены нажатием клавиши регистратора или резидентной вредоносных программ. Сайт выдает «SQRL аутентификации вызов» в виде уникального SQRL графического кода. Если у вас есть приложение SQRL смартфон, он принимает вызов и отправляет на веб-сайте уникальный ответ на запрос, который может исходить только от вас. Сайт затем регистрирует вас при нажатии кнопки «Вход» под еще пустую форму входа в систему. С точки зрения этого компьютером-и все, что он может содержать, который пытается шпионить за вами, вы волшебным образом вошли в системе без учетных данных никогда не появляются или проездом. SQRL приложение вашего смартфона увидел код SQRL сайта, мгновенно определил вас на сайте, и при условии, криптографический доказательство того, что человек, который просто нажал «Вход» кнопку. , , это ты.
• Нет «общие секреты» с сайтов:  Шестизначные Аутентификаторы повременных основаны на криптографический секрет, известный только (мы надеемся) на свой смартфон и на сайт проверки подлинности. Это позволяет веб-сайт и ваш телефон, чтобы договориться, на котором шесть цифр будут отображаться в любое время. В то время как это имеет преимущество всегда меняется, он повторяет имя пользователя и пароль проблему необходимости быть всегда держится в секрете. , , какие веб-сайты постоянно демонстрируют это за них. (И помните, сотрудники этих сайтов имеют доступ к учетным данным.) Кроме того, как пароли, потому что они не являются по-настоящему безопасными, вы должны использовать отдельную и уникальную последовательность аутентификации для каждого сайта, который вы используете. Если бы это было стать популярным и широко распространенным, то скоро будет прокручивать сотни шестизначных чисел, чтобы найти правильный.
• Нет в полосе аутентификации:  В контексте ненадежного компьютера, мы уже упоминали выше, как посетители сайта были почти волшебным образом вошли в систему, не касаясь клавиатуры компьютера. Это один аспект важный принцип безопасности, известный как «вне диапазона». Принцип заключается в том, что она, как правило, более безопасным, не посылать все аспекты безопасного обмена данными через единый канал, поскольку безопасность этого канала может быть поставлена ​​под угрозу. Ввод имя пользователя, пароль и одноразовый пароль все через ту же клавиатуру вызывает тревогу «все в группе» аутентификация. Трудно хотя бы поставить под угрозу безопасность любого отдельного канала, это значительно сложнее одновременно скомпрометировать две совершенно разные формы общения. Поскольку SQRL использует подключение смартфона к Интернету был, возможно, даже сотовый оператор, это позволяет избежать повторного использования большинства или всех каналов локального компьютера. Аутентификация часто происходит полностью «из группы», и, таким образом, невидимая для любого злоумышленника мониторинга связи компьютера.
• Нет участия третьих сторон:  В эпоху повсеместной государственного надзора и США АНБ принуждения, который будет доверять любой третьей стороне с их идентичностью? Другие системы идентификации и решения пытаются «федеративными» доверие, создавая роль для себя в качестве третьего лица, с которым вы установить отдельные доверительные отношения. Тогда сайт аутентификации просит третьей стороной подтвердить свою личность от вашего имени. Было бы одно дело, если бы не было никакой альтернативы. Но эта страница, и страницы, которые следуют, демонстрируют, что безопасная и практичная анонимная идентификация может использовать протокол полностью первой сторону, обеспечивая при этом крайней простоте использования.

Отсутствие участия третьих сторон

• Использование сторонней «посреднической» передачи большой части ответственности за управление вашей идентичности онлайн к внешнему объекту. В эпоху тайных писем национальной безопасности веских на раскрытие какое бы правительство ни желания, это серьезная ответственность (как упоминалось выше), но она также может быть существенным преимуществом: Если ваш смартфон ускользает от вашего контроля, вам нужно только сказать, третий чтобы отменить сторону он полномочие аутентификации телефона, и вы немедленно защищены от несанкционированного использования личных данных утверждения вашего смартфона.
• Эта система SQRL концентрирует все полномочия аутентификации в смартфон. Преимущество заключается в том, что никто другой не имеет ключи к вашей идентичности онлайн. Никто. Но ответственность в том, что после этого вы абсолютно ответственны за поддержание безопасности вашей идентичности онлайн.

Это серьезная проблема, которую необходимо решить.  Наше решение заключается в предоставлении пользователю концептуально простой набор инструментов, чтобы значительно облегчить бремя принятия, и управление этим ответственность. В последующих страницах подробно, система обеспечивает обширное клонирование, резервное копирование, локальную защиту пароля и сброс возможностей.

Держать на секунду . , , Мы посылаем сайт подписанной кучи ненужного? Это оно?
Да. И это именно точка. SQRL обеспечивает абсолютно анонимной проверки подлинности личности (IA). Пользователи идентифицируются только случайным «непрозрачным знаком» и каждой уникальной комбинацией пользователя и сайта создает уникальный маркер идентичности. Таким образом, каждый пользователь представляет уникальный идентификатор для каждого сайта, который они посещают. Это до пользователя и веб-сайт, чтобы затем (при необходимости) связывать уникальный идентификатор SQRL пользователя в реальном мире учетную запись на сайте.

Например, управление учетными записями Amazon, может иметь возможность, чтобы связать вошедшего в систему пользователя с их идентичностью Amazon SQRL. Таким образом, Amazon представит уникальный код SQRL на странице управления учетной записью. Пользователь просто щелкает его SQRL приложение смартфона и теперь Amazon может добавить свой SQRL ID на свой счет. Теперь пользователь может войти в Amazon в любом месте с гораздо большей безопасности только что легко.

И это, вероятно, работать в другую сторону вокруг тоже: страница Войти Амазонка представит традиционные регистрационные поля и код SQRL на стороне. Существующий пользователь Amazon, который устанавливает их личность SQRL щелкает код SQRL с их новым смартфоном приложением и Amazon отвечает, что он не признает пользователь. Если они хотят, чтобы создать новую учетную запись, они могут сделать это здесь, или, если они уже являетесь пользователем, пожалуйста, использовать традиционные Войти в последний раз, чтобы связать свою новую идентичность SQRL с существующей учетной записи Amazon.

Защита от темных сил
Почему мы видном доменное имя до аутентификации:  Смартфон не имеет возможности узнать на веб-сайте пользователь посещает. Он принимает только домен, содержащийся в QR-код, отображаемый на этой странице. в "зла Сайт" атака (также обсуждается на странице атак), вредоносный веб-сайт притворяется, чтобы предложить SQRL логин для себя (www.we-are-evil.com), Но вместо этого он получает и отображает Войти QR-код из другого домена (www.amazon.com), Где пользователь SQRL может быть известно. Приложение SQRL всегда идентифицирует и проверяет подлинность своих пользователей к домену, содержащемуся в (человеческом нечитаемом) QR-коде. Так невольным пользователь, который не знал домен они аутентифицируетесь, были бы войти в себя сессии по инициативе и под контролем Зла веб-сайта, тем самым позволяя Зла Сайт олицетворять их.

Обратите внимание, что даже в этом случае, ни один из учетных данных для входа пользователя никогда не станут известны Зла веб-сайта. Зло Сайт получает только спонтанно вошедший в сессии (хотя это явно не очень хорошая вещь!)

Этот риск может быть легко сорван, однако, просто имея смартфон пользователя первого видного доменного имени будет аутентифицировать только если пользователь сначала дает ему разрешение. Пользователь знает, что они посещают «www.we-are-evil.com.» Так что, если их телефон просит разрешения войти в «www.amazon.com» они просто говорят, нет.

Доверяя приложение: Хотя это должно пойти, не говоря, что лучше сказать: До тех пор пока поддержка SQRL не перемещается в основную операционную систему для смартфонов, а затем куратор, возможно, более тщательно, пользователи будут нести ответственность за выбор и установку клиента SQRL в свои смартфоны. Как усиления системы SQRL в популярности, можно предвидеть, что злонамеренные разработчики могут создавать вредоносные приложения для кражи учетных данных своих пользователей. Это не проблема, это в любом случае уникальным для SQRL. Любой вид идентичности или менеджера паролей должна быть тщательно проверены, прежде чем он доверил важную информацию. Стандартный совет здесь придерживаться стад и идти с решением, которое было наиболее тщательно изучено, проверено и доказано.


Три способа Go. , , смартфон по желанию:
(! И мы решим эту проблему XKCD выше) Хотя первоначальное вдохновение для развития этой системы был смартфоном сканирования QR-код на странице входа в системе веб-сайте, небольшое дополнение к этой модели позволяет еще два существенных режим работы: Просто делают QR-код изображение также гипертекстовая ссылка на тот же URL, который кодируется в QR-код. Это дает три способа Логин:

• Сканирование кода с помощью смартфона:  Используя модель, описанную выше, смартфоне пользователя сканирует QR-код, появляющийся на странице входа в систему веб-сайта, и пользователь вошел в этот сайт.
• TAP КОДА на смартфон:  Для входа на сайт на смартфон, когда визуальный код SQRL также ссылка URL-стиль (с использованием SQRL: // в качестве схемы) приложения SQRL установленного в смартфоне будет получать эту ссылку и надежно зарегистрировать пользователь на сайт на телефоне.
• Нажмите на код на экране компьютера или ноутбука:  Для того, чтобы использовать систему SQRL на любом настольном компьютере или ноутбуке системы, будет установлена ​​настольное приложение SQRL и зарегистрирует себя получить SQRL: // ссылки. (Это похоже на то, как регистры, чтобы получить MailTo программы электронной почты:. Ссылку) Это позволяет то же решение которые будут использоваться пользователями на рабочем столе, которые они используют на своих смартфонах. Если какой-либо веб-сайт предлагает код SQRL пользователь просто нажимает на код с их курсором мыши и локально установленного приложения SQRL выскочит, запрашивать их SQRL пароль, подтвердить домен, а затем зарегистрировать их в.

Практические соображения:

• открыто & бесплатно, как это должно быть:  Компонентные методы и технологии, используемые этим решением, все хорошо известны, хорошо протестированы, хорошо изучены, неизрасходованный патентами, и существуют в свободном доступе. Вся система может быть легко собрана из 100% с открытым исходным кодом алгоритмов, пакетов и библиотек.
• Курица & проблема яйца:  Был период, до Интернета, когда люди спрашивали: если нет веб-сайтов высокого качества никто не будет пользоваться Интернетом; и если никто не использует Интернет, никто не будет беспокоить создание высококачественных веб-сайтов. Как-то случилось так или иначе. Мы надеемся и ожидаем, что SQRL Войти будет так. После того, как мы установили необходимые стандарты совместимости, люди будут создавать свободный смартфон SQRL клиентов-наверное много. И как веб-сайты начинают предлагать SQRL вход в бок о бок альтернатива традиционному имени пользователя и пароля, SQRL популярность будет расти. Зачем кому-то НЕ использовать его, когда это бесплатно, совершенно, и просто работает? Пользователи будут хотеть, потому что он сразу же устраняет самый раздражающий аспект Интернета. Посетители сайта будут требовать его и сайты скоро увидят, что они теряют посетителей, не предлагая мгновенный вариант SQRL. Теперь, когда у нас есть такой потрясающий яйцо, это трудно понять, что происходит, чтобы сохранить его от вылупления, выживая, и продолжает расти.
  
• NSA & NIST-бесплатно криптография:  Рекомендуемая реализация этой системы использует несколько уникальных характеристик хорошо известного криптограф Доктор Дэниел Дж Бернштейн (DJB) тщательно разработан алгоритм скручены кривой цифровой подписи Эдварда (EdDSA). В своих обширных и полных работ (связанных в настоящем документе) Бернштейн объясняет подробный вывод и свойства его «25519» эллиптической кривой. Важно отметить, что нет никаких таинственных констант или «магические чисел» неизвестного происхождения. Дэн уже давно и хорошо известная история борьбы за свободу криптографической. В 1995 году, будучи студентом в Университете Калифорнии, Беркли, Dan принес иск против Соединенных Штатов (В лице EFF) оспаривания ограничения на экспорт криптографии. , , потому что он хотел опубликовать бумаги и связанный исходный код этой системы шифрования «простуда». Решение в случае заявленного программного обеспечения в качестве защищенной речи в соответствии с Первой поправкой, и национальные ограничения на программное обеспечение шифрования были отменены. (Он выиграл.) Пожалуйста, смотрите Подробная Crypto Архитектура страница для полной детализации и обсуждения.

Следующие страницы продолжают описывать эту систему SQRL:

• Введение & обзор
• Мнение пользователя приложения
• Подробное крипто архитектура
• Веб-сервер ответственности
• Атаки, слабые, уязвимые места
• детали реализации
• ресурсы реализации
• Проекты и готовые приложения
• Номер для роста: Более AUTH?
• Другая связанная с QR-код Логин работа
• Часто задаваемые вопросы SQRL
• Обратная связь о SQRL & эти страницы