Чтобы зайти в интернет, придется выйти на улицу. Новый проект IRLid заменяет капчу личными встречами
NewsMakerРассказываем о протоколе, который проверяет личность через «рукопожатие» смартфонами.
Пока одни сервисы требуют «доказать, что вы человек» через поведение в браузере, а другие просят отсканировать радужку глаза, появился третий вариант. Проект IRLid предлагает подтверждать, что за учётной записью стоит реальный человек, без биометрии и без единой базы данных с личными сведениями.
Идея простая: два человека должны физически встретиться и «пожать руки» своими устройствами. Протокол строится вокруг обмена QR-кодами и проверяет, что оба устройства находились рядом в одно и то же время. При этом никакие отпечатки пальцев, лица или другие биометрические данные не используются. Вместо этого система опирается на координаты GPS и криптографические подписи.
Процесс выглядит как короткий обмен. Первый участник открывает приложение, устройство фиксирует координаты и время, формирует подписанное сообщение и показывает QR-код. Второй участник сканирует код, проверяет подпись, добавляет свои координаты и время, подписывает ответ и показывает новый QR-код. После второго сканирования формируется «квитанция» – файл с двумя подписями, координатами и временными метками. Любой человек может проверить подлинность такой квитанции прямо в браузере, без обращения к серверу.
В основе лежат стандартные криптографические инструменты: цифровая подпись ECDSA на кривой P-256 и хеширование SHA-256. Ключи создаются на устройстве пользователя и не покидают его. Протокол проверяет несколько условий: разница во времени не больше 90 секунд, расстояние между устройствами не больше 12 метров, а подписи действительно соответствуют отправителям.
Пока одни сервисы требуют «доказать, что вы человек» через поведение в браузере, а другие просят отсканировать радужку глаза, появился третий вариант. Проект IRLid предлагает подтверждать, что за учётной записью стоит реальный человек, без биометрии и без единой базы данных с личными сведениями.
Идея простая: два человека должны физически встретиться и «пожать руки» своими устройствами. Протокол строится вокруг обмена QR-кодами и проверяет, что оба устройства находились рядом в одно и то же время. При этом никакие отпечатки пальцев, лица или другие биометрические данные не используются. Вместо этого система опирается на координаты GPS и криптографические подписи.
Процесс выглядит как короткий обмен. Первый участник открывает приложение, устройство фиксирует координаты и время, формирует подписанное сообщение и показывает QR-код. Второй участник сканирует код, проверяет подпись, добавляет свои координаты и время, подписывает ответ и показывает новый QR-код. После второго сканирования формируется «квитанция» – файл с двумя подписями, координатами и временными метками. Любой человек может проверить подлинность такой квитанции прямо в браузере, без обращения к серверу.
В основе лежат стандартные криптографические инструменты: цифровая подпись ECDSA на кривой P-256 и хеширование SHA-256. Ключи создаются на устройстве пользователя и не покидают его. Протокол проверяет несколько условий: разница во времени не больше 90 секунд, расстояние между устройствами не больше 12 метров, а подписи действительно соответствуют отправителям.