Què és un OTP en seguretat informàtica?

L'acrònim OTP s'utilitza per referir-se a dues coses diferents en seguretat informàtica. El significat anterior és "One Time Pad", en contextos moderns és molt més probable que es refereixi a "One Time Password/Passcode/PIN". Com probablement podeu endevinar per l'ús compartit del terme "Una vegada", hi ha algunes similituds.

One Time Pad: conceptes bàsics

Un One Time Pad és un mètode d'encriptació. Teòricament, és perfectament segur i impossible de trencar. Tanmateix, no s'utilitza àmpliament perquè té una varietat de limitacions i requisits que dificulten seriosament la seva viabilitat a la pràctica. El primer problema és que el coixinet requereix que la clau de xifratge del coixinet sigui realment aleatòria. Fins i tot els PRNG dels generadors de nombres pseudoaleatoris utilitzats per a altres finalitats criptogràfiques no són prou aleatoris per ser segurs. Qualsevol nivell de predictibilitat en el material clau compromet la premissa de secret perfecte.

El procés de generació de claus ha de ser completament segur. A més, el mètode de comunicació del bloc únic ha de ser segur. Aleshores, totes les parts també han de continuar emmagatzemant de manera segura els blocs d'una sola vegada. Les claus d'un sol ús també s'han d'eliminar de manera segura. Un One Time Pad no ofereix cap mecanisme d'autenticació. Un atacant que conegui el text pla i el text xifrat, pot recuperar la clau. Aleshores poden utilitzar-ho per generar un text xifrat diferent, sempre que mantinguin el missatge de la mateixa mida o més curt. Finalment, el missatge que s'està xifrant només pot ser tan llarg com la clau generada prèviament.

L'ús del terme "coixinet" prové del fet que, en la majoria dels casos d'ús, es distribueixen una sèrie de tecles d'una sola vegada de mida decent. Un format útil és el d'un bloc de notes amb una clau única a cada pàgina. Quan cal xifrar un missatge, s'utilitza la pàgina superior. Aleshores, la pàgina s'elimina i es destrueix per evitar que es vegi compromesa o reutilitzada.

One Time Pad - complicacions

A la pràctica, el fet que el One Time Pad s'hagi de generar, comunicar i emmagatzemar de manera segura, com qualsevol secret compartit, fa que sigui molt difícil d'utilitzar. Per exemple, un One Time Pad només és tan segur com el mètode de comunicació. Si confieu en HTTPS per comunicar de manera segura el bloc, un adversari amb la capacitat de trencar aquest xifratge TLS per obtenir el bloc no tindria més problemes per descodificar missatges. Com a tal, un coixinet comunicat digitalment no ofereix cap seguretat addicional. Quan s'utilitza un mètode de transmissió física, és a dir, un missatger o una gota morta, el coixinet és segur o no. Això fa que els coixinets físics siguin molt més útils que els coixinets digitals. A més, els coixinets únics basats en ordinador són molt més difícils d'eliminar de manera segura i afrontar problemes de remanència de dades.

Si un One Time Pad està compromès, es pot utilitzar per desxifrar missatges anteriors. Per evitar-ho, normalment es destrueix una pàgina, sovint es crema. Això evita que la clau es reutilitzi o es descobreixi. Suposant que un bloc està compromès però que se segueix la pràctica de destrucció, els missatges anteriors no es poden desxifrar. Els missatges futurs, però, es podrien desxifrar.

A la pràctica, la criptografia moderna sol ser prou segura. Un avantatge que té un One Time Pad és que es pot utilitzar a mà. La criptografia moderna és molt complexa i necessita un ordinador per utilitzar-la de manera eficient. Això fa que els One Time Pads siguin útils en entorns d'espionatge quan cal enviar missatges sense utilitzar Internet o ordinadors. Durant la guerra freda, els espies sovint utilitzaven blocs d'una sola vegada impresos en paper flash. En ser de nitrocel·lulosa, una pàgina usada es podria cremar molt ràpidament sense generar cap fum.

Contrasenya única

Una contrasenya única és una cadena secreta que es pot utilitzar per a l'autenticació. Ha de romandre en secret, però, a diferència d'un One Time Pad, no es pot utilitzar per xifrar res i no té requisits específics d'atzar. Un cas d'ús comú per a les contrasenyes d'un sol ús és l'autenticació de dos factors. Per exemple, una aplicació d'autenticació de dos factors genera un codi d'un sol ús basat en l'hora i un secret per confirmar la vostra identitat. La contrasenya única ni necessàriament ha de ser única. Els codis de dos factors solen tenir sis dígits. Això proporciona prou aleatorietat per fer que sigui extremadament improbable que un atacant pugui endevinar-ne un de vàlid en el moment adequat.

Algunes empreses, com ara els bancs, també poden generar prèviament una llista de contrasenyes d'un sol ús i enviar-les per correu electrònic als seus clients per utilitzar-les amb la banca en línia. Les contrasenyes d'un sol ús en aquest cas no poden ser iguals per a tothom, però no necessàriament han de ser 100% úniques en tots els casos.

Les contrasenyes d'un sol ús poden ser una mica maldestres des de la perspectiva de l'experiència de l'usuari. Les contrasenyes s'han de transmetre i emmagatzemar de manera segura o generar-les de manera segura. La pesca també és un risc, mentre que les contrasenyes d'un sol ús afegeixen una capa addicional d'oportunitat perquè un usuari no caigui en la pesca de pesca, un usuari que ja s'ha convençut de lliurar el seu nom d'usuari i contrasenya normalment també lliurarà la contrasenya única. .

Conclusió

En seguretat informàtica, OTP significa One Time Pad o One Time Password. Un One Time Pad és una tècnica de xifratge que ofereix un secret perfecte. Tanmateix, té una sèrie de requisits que fan que sigui incòmode d'utilitzar a la pràctica i, en general, és molt complicat d'implementar correctament als ordinadors. Tanmateix, els One Time Pads es poden utilitzar a mà, cosa que els fa útils per a l'espionatge a l'antiga. Les contrasenyes d'un sol ús són cadenes secretes que es poden utilitzar per iniciar sessió. Poden funcionar al costat o en lloc d'una contrasenya tradicional. L'autenticació de dos factors és un exemple d'implementació de les contrasenyes d'una sola vegada.