Co to jest hasło jednorazowe w bezpieczeństwie komputerowym?

Akronim OTP jest używany w odniesieniu do dwóch różnych rzeczy w bezpieczeństwie komputerowym. Starsze znaczenie to „One Time Pad”, we współczesnych kontekstach znacznie częściej odnosi się do „One Time Password/Passcode/PIN”. Jak zapewne można się domyślić na podstawie wspólnego użycia terminu „One Time”, istnieją pewne podobieństwa.

Jednorazowy Pad – podstawy

Jednorazowa podkładka to metoda szyfrowania. Teoretycznie jest całkowicie bezpieczny i niemożliwy do złamania. Nie jest jednak szeroko stosowany, ponieważ ma wiele ograniczeń i wymagań, które poważnie utrudniają jego żywotność w praktyce. Pierwszym problemem jest to, że pad wymaga, aby klucz szyfrujący na padzie był naprawdę losowy. Nawet generatory liczb pseudolosowych PRNG używane do innych celów kryptograficznych nie są wystarczająco losowe, aby były bezpieczne. Każdy poziom przewidywalności w kluczowym materiale zagraża przesłance doskonałej tajemnicy.

Proces generowania klucza musi być całkowicie bezpieczny. Ponadto metoda komunikacji One Time Pad musi być bezpieczna. W takim przypadku wszystkie strony muszą również w dalszym ciągu bezpiecznie przechowywać podkładki jednorazowe. Zużyte klucze jednorazowe należy również bezpiecznie zutylizować. Jednorazowa podkładka nie oferuje żadnego mechanizmu uwierzytelniania. Osoba atakująca, która zna tekst jawny i tekst zaszyfrowany, może odzyskać klucz. Mogą następnie użyć tego do wygenerowania innego zaszyfrowanego tekstu, o ile utrzymają wiadomość tego samego rozmiaru lub krótszą. Wreszcie, szyfrowana wiadomość może być tak długa, jak wstępnie wygenerowany klucz.

Użycie terminu „pad” wynika z faktu, że w większości przypadków dystrybuowana jest przyzwoita seria kluczy jednorazowych. Przydatnym formatem jest notatnik z unikalnym kluczem na każdej stronie. Gdy wiadomość musi zostać zaszyfrowana, używana jest strona znajdująca się na górze. strona jest następnie zwykle usuwana i niszczona, aby zapobiec naruszeniu jej bezpieczeństwa lub ponownemu użyciu.

Jednorazowa podkładka – komplikacje

W praktyce fakt, że One Time Pad musi być bezpiecznie generowany, przekazywany i przechowywany, jak każdy wspólny sekret, bardzo utrudnia korzystanie z niego. Na przykład One Time Pad jest tylko tak bezpieczny, jak metoda komunikacji. Jeśli polegasz na HTTPS, aby bezpiecznie komunikować się z padem, przeciwnik, który może złamać to szyfrowanie TLS, aby uzyskać pad, nie miałby dalszych problemów z dekodowaniem wiadomości. W związku z tym cyfrowo komunikowana podkładka nie zapewnia żadnego dodatkowego bezpieczeństwa. W przypadku korzystania z fizycznej metody transmisji, tj. kuriera lub martwego punktu, podkładka jest albo bezpieczna, albo nie. To sprawia, że ​​pady fizyczne są o wiele bardziej przydatne niż pady cyfrowe. Ponadto, One Time Pads oparte na komputerze są znacznie trudniejsze do bezpiecznego usunięcia i napotykają problemy z remanencją danych.

W przypadku naruszenia bezpieczeństwa One Time Pad można go użyć do odszyfrowania wcześniejszych wiadomości. Aby tego uniknąć, zazwyczaj strona jest niszczona, często spalana. Zapobiega to ponownemu użyciu lub wykryciu klucza. Zakładając, że pad jest zagrożony, ale przestrzegana jest praktyka niszczenia, wcześniejsze wiadomości nie mogą zostać odszyfrowane. Jednak przyszłe wiadomości będą mogły zostać odszyfrowane.

W praktyce współczesna kryptografia jest zazwyczaj więcej niż wystarczająco bezpieczna. Jedną z zalet One Time Pad jest jednak to, że można go używać ręcznie. Nowoczesna kryptografia jest bardzo złożona i wymaga komputera do efektywnego wykorzystania. To sprawia, że ​​One Time Pads są przydatne w środowiskach szpiegowskich, gdy wiadomości muszą być wysyłane bez korzystania z Internetu lub komputerów. Podczas zimnej wojny szpiedzy często używali jednorazowych podkładek drukowanych na papierze flash. Wykonana z nitrocelulozy, używana kartka mogła się bardzo szybko spalić bez generowania dymu.

Jednorazowe hasło

Hasło jednorazowe to tajny ciąg, którego można użyć do uwierzytelnienia. Musi pozostać tajemnicą, jednak w przeciwieństwie do One Time Pad nie może być używany do szyfrowania czegokolwiek i nie ma określonych wymagań co do losowości. Typowym przypadkiem użycia haseł jednorazowych jest uwierzytelnianie dwuskładnikowe. Na przykład aplikacja do uwierzytelniania dwuskładnikowego generuje jednorazowy kod na podstawie czasu i tajnego klucza w celu potwierdzenia Twojej tożsamości. Hasło jednorazowe niekoniecznie musi być unikalne. Kody dwuskładnikowe często składają się z sześciu cyfr. Zapewnia to wystarczającą losowość, aby bardzo mało prawdopodobne było, aby osoba atakująca odgadła prawidłowy kod we właściwym czasie.

Niektóre firmy, takie jak banki, mogą również wstępnie generować listę haseł jednorazowych i wysyłać je pocztą do swoich klientów w celu korzystania z bankowości internetowej. Hasła jednorazowe w tym przypadku nie mogą być takie same dla wszystkich, ale niekoniecznie muszą być w 100% unikalne we wszystkich przypadkach.

Hasła jednorazowe mogą być nieco nieporęczne z punktu widzenia użytkownika. Hasła muszą być bezpiecznie przesyłane i przechowywane lub możliwe do bezpiecznego generowania. Wyłudzanie informacji jest również ryzykiem, podczas gdy hasła jednorazowe zapewniają użytkownikowi dodatkową warstwę możliwości, aby nie dać się nabrać na phishing, użytkownik, który został już przekonany do przekazania swojej nazwy użytkownika i hasła, zwykle przekazuje również hasło jednorazowe .

Wniosek

W bezpieczeństwie komputerowym OTP oznacza One Time Pad lub One Time Password. Jednorazowa podkładka to technika szyfrowania, która zapewnia doskonałą poufność. Ma jednak szereg wymagań, które sprawiają, że jest niewygodny w użyciu w praktyce i ogólnie jest bardzo trudny do poprawnego wdrożenia na komputerach. Jednorazowe podkładki mogą być jednak używane ręcznie, co czyni je przydatnymi w staroświeckim rzemiośle szpiegowskim. Hasła jednorazowe to tajne ciągi znaków, za pomocą których można się zalogować. Mogą działać obok lub zamiast tradycyjnego hasła. Uwierzytelnianie dwuskładnikowe jest jednym z przykładów implementacji haseł jednorazowych.