FIDO2和SQRL之间是否存在与隐私或安全相关的区别？

Question

我刚刚了解了FIDO2 (WebAuthn)，并尝试将其与不太知名的新颖的SQRL身份验证方案进行比较。

两者似乎都使用了相同的关键要素：

• 一个私人的，用户居住的“主密钥”，因此不依赖像OAuth这样的第三方。
• 管理身份的软件或硬件的特定部分。
• 向web服务器/服务建立/声明身份的特定协议
• 从主密钥派生的中间公钥
• 中间公钥对域名是唯一的，从而为其他域上的其他服务器/服务提供了隐私。
• 每一次身份验证尝试的不断变化的挑战/时间，以减少重播攻击。

，所以，通过这个，我还没有发现有什么显著的区别吗？

注意:这不是关于可用性或它的具体实现(客户机或服务器组件)，而是更多关于体系结构的实现。

FIDO2资源

• https://fidoalliance.org/fido2/fido2-web-authentication-webauthn/
• https://fidoalliance.org/specs/fido-uaf-v1.1-ps-20170202/fido-uaf-overview-v1.1-ps-20170202.pdf (规范)
• https://www.heise.de/select/ct/2019/18/1566919516550023

SQRL资源

• https://sqrl.pl/guide/ (插图指南)
• https://www.grc.com/sqrl/sqrl.htm
• https://sqrl.pl/blog/

Answer 1

两者之间最不同的部分似乎是如何创建网站的身份：

• SQRL从主键导出所有网站的标识。
• FIDO为每个网站创建并存储随机标识。

这意味着，SQRL将用户身份与网站紧密绑定在一起。见SQRL身份锁定协议。但是，提供了备用身份的概念。

此外，“现在安全谈话”第875集包含一些比较部分。免责声明: SQRL是由Steve创建的，他也是Security播客的主持人。