Che cosè un OTP nella sicurezza informatica?

L'acronimo OTP è usato per riferirsi a due cose diverse nella sicurezza informatica. Il significato più antico è "One Time Pad", in contesti moderni è molto più probabile che si riferisca a "One Time Password/Passcode/PIN". Come probabilmente puoi intuire dall'uso condiviso del termine "One Time", ci sono alcune somiglianze.

One Time Pad – nozioni di base

Un One Time Pad è un metodo di crittografia. Teoricamente, è perfettamente sicuro e impossibile da decifrare. Tuttavia, non è ampiamente utilizzato perché presenta una serie di limitazioni e requisiti che ne ostacolano seriamente la fattibilità nella pratica. Il primo problema è che il pad richiede che la chiave di crittografia sul pad sia veramente casuale. Anche i generatori di numeri pseudo-casuali PRNG utilizzati per altri scopi crittografici non sono abbastanza casuali da essere sicuri. Qualsiasi livello di prevedibilità nel materiale chiave compromette la perfetta premessa di segretezza.

Il processo di generazione delle chiavi deve essere completamente sicuro. Inoltre, il metodo di comunicazione del One Time Pad deve essere sicuro. Tutte le parti devono quindi continuare a conservare in modo sicuro gli One Time Pad. Anche le chiavi usate una tantum devono essere smaltite in modo sicuro. Un One Time Pad non offre alcun meccanismo di autenticazione. Un utente malintenzionato che conosce il testo in chiaro e il testo cifrato, può recuperare la chiave. Possono quindi usarlo per generare un testo cifrato diverso, purché mantengano il messaggio della stessa dimensione o più corto. Infine, il messaggio da crittografare può essere lungo solo quanto la chiave pre-generata.

L'uso del termine "pad" deriva dal fatto che nella maggior parte dei casi d'uso viene distribuita una serie di chiavi monouso di dimensioni adeguate. Un formato utile è quello di un blocco note con una chiave univoca su ogni pagina. Quando un messaggio deve essere crittografato, viene utilizzata la pagina più in alto. la pagina viene quindi generalmente rimossa e distrutta per evitare che venga compromessa o riutilizzata.

One Time Pad – complicazioni

In pratica, il fatto che il One Time Pad debba essere generato, comunicato e archiviato in modo sicuro, come qualsiasi segreto condiviso, ne rende molto difficile l'utilizzo. Ad esempio, un One Time Pad è sicuro quanto il metodo di comunicazione. Se fai affidamento su HTTPS per comunicare in modo sicuro il pad, un avversario con la capacità di violare la crittografia TLS per ottenere il pad non avrebbe quindi ulteriori problemi a decodificare i messaggi. Pertanto, un pad comunicato digitalmente non offre alcuna sicurezza aggiuntiva. Quando si utilizza un metodo di trasmissione fisica, ad esempio un corriere o un dead drop, il pad è sicuro o non lo è. Questo rende i pad fisici molto più utili dei pad digitali. Inoltre, i One Time Pad basati su computer sono molto più difficili da eliminare in modo sicuro e devono affrontare problemi di permanenza dei dati.

Se un One Time Pad viene compromesso, può essere utilizzato per decrittografare i messaggi passati. Per evitare ciò, in genere una pagina viene distrutta, spesso bruciata. Ciò impedisce che la chiave venga riutilizzata o scoperta. Supponendo che un pad sia compromesso ma venga seguita la pratica di distruzione, i messaggi passati non possono essere decrittografati. I messaggi futuri, tuttavia, potrebbero essere decifrati.

In pratica, la crittografia moderna è in genere più che sufficientemente sicura. Un vantaggio di un One Time Pad è però che può essere utilizzato a mano. La crittografia moderna è molto complessa e necessita di un computer per essere utilizzata in modo efficiente. Ciò rende i One Time Pad utili negli ambienti spycraft quando i messaggi devono essere inviati senza utilizzare Internet o computer. Durante la guerra fredda, le spie usavano spesso blocchetti monouso stampati su carta flash. Essendo fatto di nitrocellulosa, una pagina usata potrebbe essere bruciata molto rapidamente senza generare fumo.

Password monouso

Una One Time Password è una stringa segreta che può essere utilizzata per l'autenticazione. Deve rimanere segreto, tuttavia, a differenza di un One Time Pad, non può essere utilizzato per crittografare nulla e non ha requisiti specifici di casualità. Un caso d'uso comune per le password monouso è l'autenticazione a due fattori. Ad esempio, un'app di autenticazione a due fattori genera un codice monouso basato sull'ora e un segreto per confermare la tua identità. La One Time Password, non deve nemmeno essere necessariamente univoca. I codici a due fattori sono spesso di sei cifre. Ciò fornisce abbastanza casualità da rendere estremamente improbabile che un utente malintenzionato possa indovinarne uno valido al momento giusto.

Alcune aziende, come le banche, possono anche pre-generare un elenco di password monouso e inviarle ai propri clienti per l'utilizzo con l'online banking. Le One Time Password in questo caso non possono essere uguali per tutti, ma non devono necessariamente essere uniche al 100% in tutti i casi.

Le password monouso possono essere piuttosto goffe dal punto di vista dell'esperienza utente. Le password devono essere trasmesse e archiviate in modo sicuro o generabili in modo sicuro. Anche il phishing è un rischio, mentre le One Time Password aggiungono un ulteriore livello di opportunità per un utente per non cadere nel phishing, un utente che è già stato convinto a consegnare il proprio nome utente e password in genere consegnerà anche la One Time Password .

Conclusione

Nella sicurezza informatica, OTP sta per One Time Pad o One Time Password. Un One Time Pad è una tecnica di crittografia che offre un segreto perfetto. Ha, tuttavia, una serie di requisiti che lo rendono scomodo da usare nella pratica ed è generalmente molto complicato da implementare correttamente sui computer. Tuttavia, i One Time Pad possono essere usati a mano, rendendoli utili per lo spionaggio vecchio stile. Le One Time Password sono stringhe segrete che possono essere utilizzate per accedere. Possono funzionare insieme o al posto di una password tradizionale. L'autenticazione a due fattori è un esempio di implementazione delle One Time Password.



Leave a Comment

Come clonare un disco rigido

Come clonare un disco rigido

Nell'era digitale moderna, in cui i dati sono una risorsa preziosa, la clonazione di un disco rigido su Windows può essere un processo cruciale per molti. Questa guida completa

Come risolvere il problema con il caricamento del driver WUDFRd su Windows 10?

Come risolvere il problema con il caricamento del driver WUDFRd su Windows 10?

Stai riscontrando il messaggio di errore durante l'avvio del computer che dice che il driver WUDFRd non è stato caricato sul tuo computer?

Come risolvere il codice di errore NVIDIA GeForce Experience 0x0003

Come risolvere il codice di errore NVIDIA GeForce Experience 0x0003

Hai riscontrato l'esperienza NVIDIA GeForce con il codice di errore 0x0003 sul tuo desktop? Se sì, leggi il blog per scoprire come correggere questo errore in modo semplice e veloce.

How to Use Auto Clicker for Chromebook

How to Use Auto Clicker for Chromebook

Today, were going to delve into a tool that can automate repetitive clicking tasks on your Chromebook: the Auto Clicker. This tool can save you time and

Come rimuovere una GPU da un PC Windows nel 2023

Come rimuovere una GPU da un PC Windows nel 2023

Devi rimuovere la GPU dal tuo PC? Unisciti a me mentre ti spiego come rimuovere una GPU dal tuo PC in questa guida dettagliata.

Come installare ununità SSD NVMe su desktop e laptop

Come installare ununità SSD NVMe su desktop e laptop

Hai acquistato un nuovo SSD NVMe M.2 ma non sai come installarlo? Continua a leggere per sapere come installare un'unità SSD NVMe su laptop o desktop.

Cosè una bomba logica?

Cosè una bomba logica?

Una bomba logica è un incidente di sicurezza in cui un utente malintenzionato organizza un'azione ritardata. Continua a leggere per scoprire di più.

Che cosè Stuxnet?

Che cosè Stuxnet?

Stuxnet era un worm autopropagante. È stato il primo utilizzo di un'arma informatica e la prima istanza di malware.

Cosè un hacker etico?

Cosè un hacker etico?

Un hacker etico è un hacker che agisce entro i limiti della legge. Continua a leggere per saperne di più sull'argomento.

Che cosè la crittografia simmetrica?

Che cosè la crittografia simmetrica?

Ci sono molte parti diverse della crittografia. Se vuoi crittografare alcuni dati, ci sono due tipi di algoritmi che puoi usare: symmetric