QRSA OTP Authentication

Dies ist eine App-Nutzer über ihr Handy zu authentifizieren, indem ein Einmalpasswort durch den Server mit einem öffentlichen Schlüssel verschlüsselt entschlüsseln. Die App ist nutzbar für jeden Web-Dienst, der diese Methode der Authentifizierung implementiert.
(Siehe Github-Tracker für mehr Informationen darüber, wie diese Authentifizierung auf Server-Seite zu implementieren)
Die App kann mit unbegrenzter Anzahl von vertrauenden Parteien verwendet werden, da die gleichen öffentlichen Schlüssel mit allen Parteien genutzt wird. Sobald die App eingeschrieben ist, generiert die App eine gerätespezifische Schlüsselpaar, das für die gesamte Lebensdauer der App (bis zu seiner uninstalled) vorhanden ist. die App aktualisiert den Schlüssel jedoch nicht löschen.

Github Tracker: https://github.com/sebastiannielsen/QRSA

Voraussetzungen für den Betrieb der App:
1. Das Telefon muss hardwarebasierte Speicher unterstützen. Dies ist ein Speicher, der einen "Security Chip" im Inneren des Telefons verwendet, so dass es unmöglich, den Schlüssel aus dem Telefon zu kopieren.
2. Der Speicher muss initialisiert werden. Manchmal ist es möglich, den Speicher zu initialisieren, indem Sie eine PIN-Sperre Bildschirm einrichten, und dann nur einen Schlüssel zu erzeugen. Das Entfernen der Bildschirmsperre wird in der Regel den Schlüssel halten, es sei denn, die wichtigsten Eigenschaften war Setup Bildschirm sperren zu müssen.
3. In einigen Fällen muss eine sichere Sperre Bildschirm verwendet werden. Dies ist abhängig von Modell.
4. Der sichere Chip im Inneren Telefon müssen die Operationen basierend auf 2048-Bit-RSA / EZB / PKCS1.5 unterstützen
5. In einigen Fällen kann ein verwurzelte Telefon deaktivieren kann aus Sicherheitsgründen dauerhaft den Sicherheitschip.

Um sich anzumelden, müssen Sie die URL QRSA starten: // e von einem Browser oder ähnlich. Sie können auch über eine Callback-URL anmelden, unter Verwendung von QRSA: // u. Die u, müssen Sie zunächst ein "s" angehängt, wenn Sie HTTPS verwenden möchten, oder irgendetwas anderes für HTTP. Dann wird die ganze URL genannt zu werden, ohne das System, in URLSafe Base64-Format. Der öffentliche Schlüssel wird angefügt von URL zu beenden. Wenn das Gerät nicht kompatibel ist, wird er zurückkehren INCOMPATIBLE_DEVICE und seine Ihre Verantwortung, eine aussagekräftige Fehlermeldung an den Benutzer zurück.

Zur Authentifizierung Sie die URL QRSA starten: // s oder QRSA: // c gefolgt von URLSafe Base64 codierten Daten des öffentlichen RSA-Schlüssel verschlüsselten Text im Format POLSTER :: OTP :: MESSAGE :: HASH :: PADDING. Das "s" Aktion wird für gescannte Veranstaltungen konzipiert und als OTP Text auf dem Bildschirm zu zeigen. Die "c" Aktion für Klick Veranstaltungen konzipiert. Der Unterschied besteht darin, dass die Click-Ereignisse wird der OTP-Code führen, anstatt in der Benutzer-Zwischenablage gestellt werden, so dass sofort der Benutzer den Code innerhalb des OTP-Feld einfügen fortfahren können.
HASH wird durch die Schaffung eines md5 aus OTP + MESSAGE + OTP aufgebaut, wobei + String-Verkettung bezeichnet. Diese HASH schützt gegen einige grobe Formen der Biegsamkeit Angriffe auf dem verschlüsselten Text. Die Sandwich-Konstruktion verhindert, dass ein Angreifer aus dem Separator zwischen OTP und MESSAGE bewegen.

Beachten Sie, dass die Screenshots der App wurde absichtlich zensiert zu verhindern Warenzeichen und / oder Urheberrechtsverletzungen (UI von Android und andere Anwendungen sind urheberrechtlich geschützt), wie die Interaktion in der App über ein Dialogfenster zur Verfügung gestellt wird, die auf der Oberseite des rufenden erscheinen App, die die Authentifizierung passieren verursacht.

Wenn es irgendwelche Probleme auf der App ist, können Sie Beispielcode und weitere Anweisungen auf dem öffentlichen GitHub Seite finden, da diese App Open Source ist.
Auch fühlen sich frei, alle Fragen des öffentlichen Github-Tracker zu erstellen.