Co je jednorázové heslo v počítačové bezpečnosti?

Zkratka OTP se používá k označení dvou různých věcí v počítačové bezpečnosti. Starší význam je „One Time Pad“, v moderním kontextu je mnohem pravděpodobnější, že se odkazuje na „Jednorázové heslo/heslo/PIN“. Jak pravděpodobně můžete uhodnout ze společného používání termínu „Jednou“, existují určité podobnosti.

One Time Pad – základy

One Time Pad je metoda šifrování. Teoreticky je dokonale bezpečný a nelze jej prolomit. Není však široce používán, protože má řadu omezení a požadavků, které vážně omezují jeho životaschopnost v praxi. Prvním problémem je, že podložka vyžaduje, aby byl šifrovací klíč na podložce skutečně náhodný. Ani generátory pseudonáhodných čísel PRNG používané pro jiné kryptografické účely nejsou dostatečně náhodné, aby byly bezpečné. Jakákoli úroveň předvídatelnosti v klíčovém materiálu ohrožuje předpoklad dokonalého utajení.

Proces generování klíčů musí být zcela bezpečný. Kromě toho musí být způsob komunikace One Time Pad bezpečný. Všechny strany pak musí také pokračovat v bezpečném uložení One Time Pads. Použité jednorázové klíče je také nutné bezpečně zlikvidovat. One Time Pad nenabízí žádný mechanismus ověřování. Útočník, který zná otevřený a šifrovaný text, může klíč obnovit. To pak mohou použít ke generování jiného šifrovaného textu, pokud zprávu udrží ve stejné velikosti nebo kratší. A konečně, šifrovaná zpráva může být pouze tak dlouhá, jako předem vygenerovaný klíč.

Použití termínu „pad“ pochází ze skutečnosti, že ve většině případů použití je distribuována slušně velká řada jednorázových kláves. Užitečný formát je formát poznámkového bloku s jedinečným klíčem na každé stránce. Pokud je třeba zprávu zašifrovat, použije se nejvyšší stránka. stránka je pak obvykle odstraněna a zničena, aby se zabránilo jejímu zneužití nebo opětovnému použití.

One Time Pad – komplikace

V praxi skutečnost, že One Time Pad musí být bezpečně generována, komunikována a uložena, jako každé sdílené tajemství, velmi ztěžuje použití. Například One Time Pad je pouze tak bezpečný jako způsob komunikace. Pokud se spoléháte na HTTPS pro bezpečnou komunikaci podložky, protivník se schopností prolomit šifrování TLS a získat podložku by pak neměl žádné další problémy s dekódováním zpráv. Digitálně komunikovaná podložka jako taková nenabízí žádné další zabezpečení. Při použití fyzického způsobu přenosu, tj. kurýrem, nebo mrtvou kapkou, je podložka buď bezpečná, nebo není. Díky tomu jsou fyzické podložky mnohem užitečnější než digitální. Navíc je mnohem těžší bezpečně odstranit počítačové One Time Pady a čelit problémům s remanencí dat.

Pokud dojde ke kompromitaci One Time Pad, lze jej použít k dešifrování minulých zpráv. Aby se tomu zabránilo, je obvykle stránka zničena, často spálena. To zabrání opětovnému použití klíče nebo jeho odhalení. Za předpokladu, že je podložka kompromitována, ale je dodržen postup ničení, nelze minulé zprávy dešifrovat. Budoucí zprávy by však bylo možné dešifrovat.

V praxi je moderní kryptografie obvykle více než dostatečně bezpečná. Jednou výhodou One Time Pad je, že ji lze používat ručně. Moderní kryptografie je velmi složitá a k efektivnímu využití potřebuje počítač. Díky tomu jsou One Time Pads užitečné v prostředí spycraftu, když je třeba posílat zprávy bez použití internetu nebo počítačů. Během studené války špióni často používali One Time Pads vytištěné na flash papíře. Tím, že je vyrobena z nitrocelulózy, mohla být použitá stránka velmi rychle spálena bez vytváření kouře.

Jednorázové heslo

Jednorázové heslo je tajný řetězec, který lze použít k ověření. Musí zůstat v tajnosti, ale na rozdíl od One Time Pad jej nelze použít k šifrování čehokoli a nemá žádné specifické požadavky na náhodnost. Běžným případem použití jednorázových hesel je dvoufaktorové ověřování. Například aplikace pro dvoufaktorové ověřování generuje jednorázový kód na základě času a tajemství k potvrzení vaší identity. Jednorázové heslo ani nemusí být nutně jedinečné. Dvoufaktorové kódy jsou často šestimístné. To poskytuje dostatečnou náhodnost, aby bylo extrémně nepravděpodobné, že by útočník mohl ve správný čas uhodnout platné.

Některé společnosti, jako jsou banky, mohou také předem vygenerovat seznam jednorázových hesel a poslat je svým zákazníkům pro použití v online bankovnictví. Jednorázová hesla v tomto případě nemohou být stejná pro všechny, ale nemusí být nutně 100% jedinečná ve všech případech.

Jednorázová hesla mohou být z pohledu uživatelské zkušenosti poněkud neohrabaná. Hesla musí být bezpečně přenášena a ukládána, nebo musí být bezpečně generována. Phishing je také riziko, zatímco Jednorázová hesla přidávají další vrstvu příležitosti pro uživatele, aby nepodlehl phish, uživatel, který již byl přesvědčen, aby předal své uživatelské jméno a heslo, obvykle také předá Jednorázové heslo. .

Závěr

V počítačové bezpečnosti OTP znamená One Time Pad nebo One Time Password. One Time Pad je šifrovací technika, která nabízí dokonalé utajení. Má však řadu požadavků, kvůli kterým je použití v praxi nepohodlné a obecně je velmi obtížné správně implementovat do počítačů. One Time Pads však lze používat ručně, takže jsou užitečné pro staromódní špionážní techniky. Jednorázová hesla jsou tajné řetězce, které lze použít k přihlášení. Mohou fungovat vedle tradičního hesla nebo místo něj. Dvoufaktorová autentizace je jedním z příkladů implementace jednorázových hesel.