Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

Чтобы зайти в интернет, придется выйти на улицу. Новый проект IRLid заменяет капчу личными встречами

leer en español

IRLid GPS QR-код капча верификация
Чтобы зайти в интернет, придется выйти на улицу. Новый проект IRLid заменяет капчу личными встречами
IRLid GPS QR-код капча верификация

Рассказываем о протоколе, который проверяет личность через «рукопожатие» смартфонами.

image

Пока одни сервисы требуют «доказать, что вы человек» через поведение в браузере, а другие просят отсканировать радужку глаза, появился третий вариант. Проект IRLid предлагает подтверждать, что за учётной записью стоит реальный человек, без биометрии и без единой базы данных с личными сведениями.

Идея простая: два человека должны физически встретиться и «пожать руки» своими устройствами. Протокол строится вокруг обмена QR-кодами и проверяет, что оба устройства находились рядом в одно и то же время. При этом никакие отпечатки пальцев, лица или другие биометрические данные не используются. Вместо этого система опирается на координаты GPS и криптографические подписи.

Процесс выглядит как короткий обмен. Первый участник открывает приложение, устройство фиксирует координаты и время, формирует подписанное сообщение и показывает QR-код. Второй участник сканирует код, проверяет подпись, добавляет свои координаты и время, подписывает ответ и показывает новый QR-код. После второго сканирования формируется «квитанция» – файл с двумя подписями, координатами и временными метками. Любой человек может проверить подлинность такой квитанции прямо в браузере, без обращения к серверу.

В основе лежат стандартные криптографические инструменты: цифровая подпись ECDSA на кривой P-256 и хеширование SHA-256. Ключи создаются на устройстве пользователя и не покидают его. Протокол проверяет несколько условий: разница во времени не больше 90 секунд, расстояние между устройствами не больше 12 метров, а подписи действительно соответствуют отправителям.

Такой подход решает задачу иначе, чем привычные системы. Капчи вроде reCAPTCHA лишь пытаются угадать, похож ли пользователь на человека, и дают вероятностный результат. Биометрические решения, такие как сканирование радужки в World ID, дают более сильную гарантию, но требуют доверия к оператору системы и передачи чувствительных данных. IRLid занимает промежуточное положение: требует физического присутствия, но не собирает биометрию и не хранит данные централизованно.

При этом авторы не скрывают ограничения. Координаты берутся из стандартного механизма геолокации браузера, а значит их можно подделать на уровне операционной системы или приложения. Закрытые ключи хранятся в браузере и могут быть украдены при компрометации устройства. Два человека могут договориться и создать «квитанцию» без какого-либо реального доверия между собой. Один пользователь с несколькими телефонами тоже сможет обойти систему.

Кроме того, протокол не связывает ключи с конкретной личностью. Квитанция подтверждает лишь факт встречи двух устройств, а не то, кто именно ими владеет. Нет и механизма отзыва ключей, если устройство скомпрометировано.

Несмотря на ограничения, идея может оказаться полезной там, где важен сам факт личной встречи: на мероприятиях, в локальных сообществах или в системах, где доверие накапливается через цепочку таких подтверждений. Разработчики предлагают рассматривать IRLid как строительный блок, а не готовую замену капчам или биометрии.