SQRL

Протокол является ответом к задаче идентичности фрагментации. Он улучшает протоколы, такие как oAuth и OpenID, которые не требуют от третьей стороны выступать в роли посредника и не дают серверу третьей стороны никаких секретов защиты (имя пользователя или пароль). Кроме того, он обеспечивает стандарт, который может быть свободно использован для упрощения процесса входа в менеджер паролей, например LastPass. И, что ещё более важно, стандарт является открытым, поэтому ни одна компания не может извлечь выгоду из обладания этой технологией.

Пример QR-кода, который создан для SQRL, может быть отсканирован или проверен на сайте на подлинность.

Для протокола, используемого на сайте, необходимы две составляющие:

• Реализация, которая отображает QR-код или специально созданный URL-адрес согласно спецификации протокола, является частью веб-сервиса, к которому осуществляется аутентификация.
• Плагин для браузера или мобильного приложения, который может прочитать этот код в целях обеспечения безопасной аутентификации.

В SQRL клиент использует одностороннюю функцию и единый мастер-пароль пользователя для расшифровки секретного мастер-ключа. Ключ генерируется в сочетании с названием сайта (включая доменное имя и, по желанию, дополнительный суб-идентификатор^{[неизвестный термин]} сайта: «example.com», «example.edu/chessclub») (суб-)сайт-специфическую пару публичный/приватный ключ. Он использует криптографический токен с закрытым ключом и дает общий ключ к сайту, так, что он может проверить зашифрованные данные.

SQRL имеет некоторые конструктивные особенности в виде преднамеренной фишинг-защиты,[1] но она в основном предназначена для проверки подлинности, а не как «антифишинг», несмотря на то, что имеет некоторые «антифишинг» свойства.[2]

Аббревиатуру SQRL придумал Стив Гибсон, а протокол составлен, обсуждён и проанализирован им самим и сообществом Интернет-безопасности энтузиастов на news.grc.com в группе новостей и во время его еженедельного подкаста, Security Now!, 2 октября 2013 года. В течение двух дней после выхода в эфир этого подкаста, консорциум W3C и Google выразили заинтересованность в работе над стандартом.[3]

Тезисы SQRL были проанализированы и обнаружили, что «это, кажется, интересный подход, как в плане предполагаемой работы пользователя, так и с точки зрения криптографии. В целом SQRL хорошо зарекомендовал себя в криптографии».[4]

Ряд доказательств принципиальной схемы реализации были сделаны для разнообразных платформ, в том числе и для сервера:

• PHP[5]
• Drupal[6]
• C# .NET[7]

И для клиента:

• Android[8][9][10]
• C# .NET[7]
• Java[11]
• Python[12]

Существуют различные серверы тестирования и отладки:

• https://www.grc.com/sqrl/demo.htm
• https://www.grc.com/sqrl/diag.htm
• https://web.archive.org/web/20150402131033/https://sqrl-test.paragon-es.de/
• https://web.archive.org/web/20150316131413/http://sw.squaltech.com:8080/

Стив Гибсон заявляет, что SQRL является «открытым и бесплатным, как это должно быть».[13] В то время как SQRL вызвал большое внимание к механизму аутентификации на основе QR-кода, предложенный протокол был запатентован ещё раньше и, как правило, не должен быть доступен для использования в свободном доступе.[14] Но Гибсон говорит: «Что эти ребята которые делают, как описано в патенте[15] в корне отличается от способов работы SQRL, так что не было бы никаких конфликтов между SQRL и их патентом. На первый взгляд, используемый 2D код для проверки подлинности вроде бы „похожие“… и внешне точно такие же решения. Но все детали очень важны, и способы работы SQRL полностью отличаются в деталях.»[16]

• Grc.com
• Ghacks.net
• SQRL Illustrated Guide
• Techrepublic review: SQRL: A new method of authentication with QR codes
• «Authentication without Passwords Implementing SQRL» — Intel презентация Даниеля Холмлунда в 2014 «HTML5 с конференции разработчиков»
• www.sqrl.pl Google Play Store — тест реализации SQRL