SQRL - SQRL - Wikipedia

Tento článek je o výpočetním tématu. Pro další použití viz Sqrl.
Bezpečné, rychlé a spolehlivé přihlášení
Oficiální logo SQRL
Oficiální SQRL Logo
Původní autořiSteve Gibson
Operační systémCross-platform
K dispozici v56 jazyků
Seznam jazyků
Afrikánština, arabština, arménština, běloruština, bulharština, katalánština, zjednodušená čínština, tradiční čínština, chorvatština, čeština, dánština, holandština, angličtina, angličtina, Kanada, angličtina, Spojené království, esperanto, estonština, finština, francouzština, francouzština, Kanada, francouzština , Quebec, němčina, řečtina, hebrejština, hindština, maďarština, islandština, indonéština, irština, italština, japonština, korejština, lotyština, litevština, malabarština, norský bokmmal, norský nynorsk, perština, polština, portugalština, portugalština, brazilština, rumunština, ruština , Srbština (cyrilice), slovenština, slovinština, španělština, svahilština, Keňa, svahilština, Tanzanie, švédština, tagalština, thajština, turečtina, ukrajinština, vietnamština, velština[1]
Typzabezpečené přihlášení a ověřování webových stránek
LicenceVeřejná doména[2]
webová stránkahttps://www.grc.com/sqrl/sqrl.htm

SQRL (vyslovuje se „veverka“)[3] nebo Bezpečné, rychlé a spolehlivé přihlášení (dříve Zabezpečené přihlášení QR) je návrh otevřený standard pro bezpečné webová stránka přihlásit se a ověřování. The software obvykle používá a odkaz schématu sqrl: // nebo volitelně a QR kód, kde se uživatel identifikuje pomocí a pseudonymní důkaz nulových znalostí spíše než poskytovat uživatelské ID a Heslo. Tato metoda je považována za nepropustnou pro a hrubou silou útok na heslo nebo únik dat. Přesouvá břemeno zabezpečení od strany požadující ověření a blíže k operačnímu systému implementace toho, co je možné na Hardware, jakož i uživateli. SQRL navrhl Steve Gibson společnosti Gibson Research Corporation v říjnu 2013 jako způsob zjednodušení procesu ověřování bez rizika odhalení informací o transakci a třetí strana.

Dějiny

The akronym SQRL vytvořil Steve Gibson a protokol navrhl, podrobně prodiskutoval a analyzoval sám a komunita Internetová bezpečnost nadšenci na news.grc.com diskusní skupiny a během jeho týdeníku podcast, Zabezpečení hned!, 2. října 2013. Do dvou dnů od vysílání tohoto podcastu se W3C projevil zájem o práci na standardu.[4]Ian Maddox a Kyle Moschetto, Google Cloud Solutions Architects zmiňují SQRL ve svém dokumentu „Moderní zabezpečení heslem pro systémové designéry“.[5]

Teze o SQRL analyzovala a zjistila, že „se jeví jako zajímavý přístup, a to jak z hlediska předpokládaného uživatelského zážitku, tak i základní kryptografie. SQRL většinou kombinuje dobře zavedenou kryptografii novým způsobem.“[6]

Výhody

Protokol je odpovědí na problém identita fragmentace. Vylepšuje protokoly jako OAuth a OpenID nevyžadováním a třetí strana zprostředkovat transakci a tím, že serveru neposkytnete žádná tajemství na ochranu, například uživatelské jméno a heslo.

Kromě toho poskytuje standard, který lze volně použít ke zjednodušení dostupných přihlašovacích procesů správce hesel aplikace. Ještě důležitější je, že standard je otevřený, takže žádná společnost nemůže těžit z vlastnictví technologie. Podle Gibsonovy webové stránky[7] taková robustní technologie by měla být ve veřejné doméně, aby bylo možné ověřit bezpečnost a kryptografii, a nikoli záměrně omezovat z komerčních nebo jiných důvodů.

Ochrana proti phishingu

SQRL má některé designové a úmyslné phishing obrana,[8] ale je zamýšleno hlavně pro ověřování, nikoli proti phishingu, přestože má některé anti-phishingové vlastnosti.[9]

Příklad použití

Příklad SQRL-URL / QR-kódu, na který lze kliknout, klepnout nebo naskenovat pro ověření webu.

K použití protokolu na webu jsou nutné dvě součásti: an implementace, který je součástí webová služba ke kterému se implementace autentizuje, která zobrazuje a QR kód nebo speciálně vytvořený URL podle Specifikace protokolu a plugin prohlížeče nebo a mobilní aplikace, který může tento kód přečíst za účelem zajištění bezpečného ověřování.

Klient SQRL používá „jednosměrné“ funkce a jediné hlavní heslo uživatele k dešifrování tajného hlavního klíče, ze kterého vygeneruje v kombinaci s názvem webu (obsahující název domény a volitelně další identifikátor podřízeného webu: „example.com“, „example.edu/chessclub“) ) a (sub-) site-specific pár veřejného / soukromého klíče. Podepisuje to transakční tokeny se soukromým klíčem a dává veřejný klíč k webu, aby mohl ověřit šifrovaná data.

Neexistují žádná „sdílená tajemství“, která by mohl kompromis webu odhalit, aby umožňoval útoky na účty na jiných webech. Jediný, co by úspěšný útočník mohl získat, veřejný klíč, by se omezil na ověřování podpisů, které se používají pouze na stejném místě. I když uživatel odemkne hlavní klíč pomocí jediného hesla, nikdy neopustí klienta SQRL; jednotlivé weby neobdrží žádné informace z procesu SQRL, které by mohly být použity na jakémkoli jiném webu.

Implementace SQRL

Počet ověření konceptu byly provedeny implementace pro různé platformy, včetně serverů (PHP,[10] Drupal,[11], a C # .NET[12][13]) a pro klienta (Android,[14][15][16] C # .NET,[17] Jáva [18], a Krajta[19]). K dispozici jsou také různé testovací a ladicí weby na konci serveru.[20][21][22][23]

Právní aspekty

Steve Gibson uvádí, že SQRL je „otevřený a svobodný, jak by měl být“, a že řešení je „nezatíženo patenty“.[3] Zatímco SQRL přinesl velkou pozornost autentizačním mechanismům založeným na QR kódu, navrhovaný protokol je údajně patentován dříve a není obecně k dispozici pro bezplatné použití.[24] Ale Gibson říká: „Co tito lidé dělají, jak je popsáno v tomto patentu[25] je zcela odlišný od způsobu fungování SQRL, takže by mezi SQRL a jejich patentem nedošlo ke konfliktu. Povrchně se všechno, co používá pro autentizaci 2D kód, jeví jako „podobné“ ... a povrchně všechna taková řešení jsou. Ale na detailech záleží a způsob, jakým SQRL funguje, je v detailech úplně jiný. “[26]

Viz také

Reference

  1. ^ „SQRL Translations“. crowdin.com. Citováno 16. července 2015.
  2. ^ Zabezpečte rychlé a spolehlivé přihlášení na www.grc.com/sqrl „Otevřené a bezplatné, jak by mělo být: Techniky a technologie komponent využívané tímto řešením jsou dobře známé, dobře testované, dobře srozumitelné, nezatížené patenty a existují ve veřejné doméně. [...] S touto publikací tímto podrobně tímto uvolňuji a odmítám veškerá vlastnická práva k jakýmkoli novým zde vyvinutým a prezentovaným nápadům. Toto dílo je tak přidáno k veřejné doméně. “
  3. ^ A b „SQRL / Gibson Research“. grc.com. Citováno 2014-05-12.
  4. ^ „Zabezpečení nyní! # 425 SQRL Otázky a odpovědi # 176 (přepis)“. 2013-10-09. Citováno 2013-10-16.
  5. ^ „Moderní zabezpečení heslem pro systémové designéry“ (PDF).
  6. ^ „Bezpečnostní analýza a implementace schématu ověřování SQRL“. Archivovány od originál dne 02.04.2015. Citováno 2015-03-18.[mrtvý odkaz ]
  7. ^ „Rychlé a spolehlivé přihlášení SQRL od společnosti GRC“. www.grc.com. Citováno 2016-06-02.
  8. ^ Gibson, Steve (2014). Summit zabezpečení DigiCert (ed.). „Revoluce přihlašování a ověřování webových stránek pomocí SQRL“. Vimeo.
  9. ^ „Podrobnosti o ochraně před phishingem a omezeních“. grc.com. 2013-12-06. Citováno 2013-12-06.
  10. ^ https://github.com/trianglman/sqrl
  11. ^ https://www.drupal.org/project/sqrl
  12. ^ https://github.com/jestin/SqrlNet
  13. ^ https://github.com/TechLiam/SQRL-For-Dot-Net-Standard
  14. ^ https://github.com/geir54/android-sqrl
  15. ^ „Archivovaná kopie“. Archivovány od originál dne 02.04.2015. Citováno 2015-03-17.CS1 maint: archivovaná kopie jako titul (odkaz)
  16. ^ https://play.google.com/store/apps/details?id=net.vrallev.android.sqrl
  17. ^ https://github.com/jestin/SqrlNet
  18. ^ [1]
  19. ^ https://github.com/bushxnyc/sqrl
  20. ^ https://www.grc.com/sqrl/demo.htm
  21. ^ https://www.grc.com/sqrl/diag.htm
  22. ^ https://sqrl-test.paragon-es.de Archivováno 02.04.2015 na Wayback Machine
  23. ^ http://sw.squaltech.com:8080 Archivováno 2015-03-16 na Wayback Machine
  24. ^ „SQRL není opravdu nový“. Mike Beiter. 4. října 2013. Citováno 2014-05-12.
  25. ^ Způsob a systém pro autentizaci uživatele pomocí mobilního zařízení US 20100070759 A1
  26. ^ „Bezpečné rychlé a spolehlivé přihlášení“. grc.com. Citováno 22. září 2015.

externí odkazy