Ce este un OTP în securitatea computerelor?

Acronimul OTP este folosit pentru a se referi la două lucruri diferite în securitatea computerelor. Sensul mai vechi este „One Time Pad”, în contexte moderne este mult mai probabil să se facă referire la „One Time Password/Parolă/PIN”. După cum probabil puteți ghici din utilizarea comună a termenului „O singură dată”, există unele asemănări.

One Time Pad – elemente de bază

Un One Time Pad este o metodă de criptare. Teoretic, este perfect sigur și imposibil de spart. Totuși, nu este utilizat pe scară largă, deoarece are o varietate de limitări și cerințe care îi împiedică grav viabilitatea în practică. Prima problemă este că pad-ul necesită ca cheia de criptare de pe pad să fie cu adevărat aleatorie. Chiar și PRNG-urile generatoare de numere pseudoaleatoare utilizate în alte scopuri criptografice nu sunt suficient de aleatorii pentru a fi sigure. Orice nivel de predictibilitate în materialul cheie compromite premisa perfectă a secretului.

Procesul de generare a cheilor trebuie să fie complet sigur. În plus, metoda de comunicare a One Time Pad trebuie să fie sigură. Toate părțile trebuie, de asemenea, să continue să păstreze în siguranță Pad-urile One Time. Cheile de unică folosință trebuie, de asemenea, eliminate în siguranță. Un One Time Pad nu oferă niciun mecanism de autentificare. Un atacator care cunoaște textul simplu și textul cifrat poate recupera cheia. Ei îl pot folosi apoi pentru a genera un text cifrat diferit, atâta timp cât păstrează mesajul la aceeași dimensiune sau mai scurt. În cele din urmă, mesajul criptat poate fi atât de lung cât cheia pre-generată.

Utilizarea termenului „pad” provine din faptul că, în majoritatea cazurilor de utilizare, sunt distribuite o serie de taste unice de dimensiuni decente. Un format util este cel al unui blocnotes cu o cheie unică pe fiecare pagină. Când un mesaj trebuie criptat, se folosește pagina de sus. pagina este apoi de obicei eliminată și distrusă pentru a preveni compromiterea sau reutilizarea acesteia.

One Time Pad – complicații

În practică, faptul că One Time Pad trebuie să fie generat, comunicat și stocat în siguranță, ca orice secret partajat, îl face foarte dificil de utilizat. De exemplu, un One Time Pad este la fel de sigur ca metoda de comunicare. Dacă te bazezi pe HTTPS pentru a comunica în siguranță pad-ul, un adversar cu capacitatea de a rupe acea criptare TLS pentru a obține pad-ul nu ar avea alte probleme la decodarea mesajelor. Ca atare, un pad comunicat digital nu oferă nicio securitate suplimentară. Când utilizați o metodă de transmisie fizică, adică un curier sau picătură moartă, suportul este sigur sau nu. Acest lucru face ca tampoanele fizice să fie mult mai utile decât tampoanele digitale. În plus, tampoanele One Time bazate pe computer sunt mult mai greu de șters în siguranță și se confruntă cu probleme de remanență a datelor.

Dacă un One Time Pad este compromis, acesta poate fi folosit pentru a decripta mesajele trecute. Pentru a evita acest lucru, de obicei o pagină este distrusă, adesea arsă. Acest lucru împiedică reutilizarea sau descoperirea cheii. Presupunând că un pad este compromis, dar este urmată practica de distrugere, mesajele din trecut nu pot fi decriptate. Mesajele viitoare, totuși, ar putea fi apoi decriptate.

În practică, criptografia modernă este de obicei mai mult decât suficient de sigură. Un avantaj pe care îl are un One Time Pad este că poate fi folosit manual. Criptografia modernă este foarte complexă și are nevoie de un computer pentru a fi utilizată eficient. Acest lucru face ca One Time Pads să fie utile în mediile de spionaj atunci când mesajele trebuie trimise fără a utiliza internetul sau computerele. În timpul Războiului Rece, spionii foloseau adesea Tampoane One Time imprimate pe hârtie flash. Fiind fabricată din nitroceluloză, o pagină uzată ar putea fi arsă foarte repede fără a genera fum.

Parolă de unică folosință

O parolă unică, este un șir secret care poate fi folosit pentru autentificare. Trebuie să rămână secret, totuși, spre deosebire de un One Time Pad, nu poate fi folosit pentru a cripta nimic și nu are cerințe specifice aleatorii. Un caz obișnuit de utilizare pentru parolele unice este autentificarea cu doi factori. De exemplu, o aplicație de autentificare cu doi factori generează un cod de o singură utilizare bazat pe timp și un secret pentru a vă confirma identitatea. Parola unică, nici măcar nu trebuie să fie neapărat unică. Codurile cu doi factori sunt adesea șase cifre. Acest lucru oferă suficientă aleatorie pentru a face extrem de puțin probabil ca un atacator să poată ghici unul valid la momentul potrivit.

Unele companii, cum ar fi băncile, pot, de asemenea, să pre-genereze o listă de parole de unică folosință și să le poată trimite clienților pentru a le utiliza cu servicii bancare online. Parolele unice în acest caz nu pot fi aceleași pentru toată lumea, dar nu trebuie neapărat să fie 100% unice în toate cazurile.

Parolele unice pot fi oarecum greoaie din perspectiva experienței utilizatorului. Parolele trebuie să fie transmise și stocate în siguranță sau generabile în siguranță. Phishingul este, de asemenea, un risc, în timp ce parolele unice adaugă un nivel suplimentar de oportunitate pentru ca un utilizator să nu se îndrăgească de phishing, un utilizator care a fost deja convins să-și predea numele de utilizator și parola va preda, de obicei, și parola unică. .

Concluzie

În securitatea computerelor, OTP înseamnă One Time Pad sau One Time Password. Un One Time Pad este o tehnică de criptare care oferă secret perfect. Are, totuși, o serie de cerințe care îl fac dificil de utilizat în practică și, în general, este foarte dificil de implementat corect pe computere. Cu toate acestea, One Time Pads pot fi folosite manual, făcându-le utile pentru spionajele de modă veche. Parolele unice sunt șiruri secrete care pot fi folosite pentru a vă conecta. Ele pot funcționa alături de sau în locul unei parole tradiționale. Autentificarea cu doi factori este un exemplu de implementare a parolelor unice.