SQRL - zapomeňte na login a heslo, k online přihlášení bude stačit QR kód

SQRL je služba nejen pro lidi, kteří si nechtějí pamatovat složitá hesla do mnoha webových stránek a aplikací. Přihlášení pomocí QR kódu řeší i vlastní identitu a anonymitu na internetu.

SQRL - zapomeňte na login a heslo, k online přihlášení bude stačit QR kód

Secure Quick Reliable Login (SQRL, v angličtině vyslovováno také jako “squirrel” - veverka) je open source program, navržený Stevem Gibsonem a jeho společností GRC. Principem fungování se řadí mezi další pokusy, jak nahradit tradiční ověřování jména a hesla při přihlašování do webové služby. Program je navíc zdarma.

Kryptografie a použití veřejného klíče umožňuje uživateli vygenerovat samostatný token, který může pseudonymně komunikovat s webovými stránkami a uskutečnit přihlášení, aniž by musel použít login a heslo.

Steve Gibson své první funkční SQRL představil minulý týden v podcastu pravidelného pořadu GRC Security Now!

Jak funguje SQRL

Softwarový klient SQRL je k dispozici jak pro mobilní Android a iOS, tak i pro všechny běžné operační programy. Po instalaci klient vygeneruje 256 bitový master token. Ten pak může být použit na účely ověření identity po dobu, jakou si zvolí uživatel. SQRL lze samozřejmě použít k přihlášení jen na těch stránkách, které jej podporují, stejně jako u služeb pracujících na podobném principu. Webové stránky na místě obvyklém pro přihlášení zobrazí QR kód, který uživatel buď naskenuje smartphonem, nebo odklikne myší u desktopového zařízení.

QR kód obsahuje URL adresu webového serveru, který jej zahashuje s master tokenem uživatele a vytvoří tak privátní klíč - ten nesmí opustit klienta v zařízení uživatele. Webový server pak obdrží URL adresu, která už je kryptograficky podepsaná a spárovaná se správným veřejným klíčem, tím je přihlášení ověřeno.

Gibson říká:

"Krása spočívá v tom, že nyní máme vlastní privátní klíč, vygenerovaný pro námi zvolenou identitu.  […] Systém je pak pseudonymní do té doby, dokud jej nespojíme s naší skutečnou identitou v reálném světě. Máme také různou identitu pro každý web zvlášť, takže pokud nechceme, nemůžeme být mezi jednotlivými weby vysledováni."

K čemu je to dobré

Gibson to vysvětlil účastníkům konference DigiCert v r. 2014:

"V éře Edwarda Snowdena a v časech, které přišly po něm si nemyslím, že jakýkoliv druh systému třetí strany dává smysl. Hlavní problém je v tom, že byste mu měli vždy věřit. […] SQRL je jediné řešení, které nám umožňuje zvolit si vlastní identitu a nebýt přes internet vysledovatelný, problém důvěry zde řeší kryptografie."

Video z konference DigiCert, kde Gibson vysvětluje princip SQRL do detailu:

Jde to i jinak

SQRL však není jediné řešení, jak se přihlásit do různých online služeb a webových stránek bez použití standardního loginu a hesla. Určité pokusy testoval také Google v projektu sesame a na podobném principu funguje i getclef.com, QR kód zde nahrazuje pohybující se obrázek (CODE 128). V tomto případě se však jedná o placenou službu s použitím proprietární aplikace a protokolu. 

Funkčním projektem je open source program BitID, vyvíjený bitcoinovou komunitou, který podobně jako SQRL využívá skenováni QR kódu a podepisuje se privátním klíčem, uloženým v mobilní peněžence. 

V České republice nedávno vznikl zajímavý projekt  QRlogin, tuto autentizační metodu rozvíjí programátor a aktivní člen bitcoinové komunity Ondřej Novák a celé open source řešení najdete na vývojářském GitHubu pod tímto odkazem. QRlogin a jeho fungování popisuje článek Přihlašte se QR kódem.

Na jiném principu funguje hardwarová bitcoinová peněženka Trezor z dílny Satoshi Labs. Ta je nyní spárovaná s množstvím aplikací a webových stránek, na kterých se můžete přihlásit bez zadání uživatelského jména a hesla. Trezor na rozdíl od softwarových rozhraní řeší i skladování privátních klíčů, které je alfou a omegou uživatelské bezpečnosti. Trezor pracuje s open source protokolem SLIP0013, v budoucnu chce implementovat také protokol BitID, který umožní použití zálohovacího seedu v jiných peněženkách - např. Mycelium.

login Trezor


autor CT: Amanda B. Johnso
n