Τι είναι το OTP στην Ασφάλεια Υπολογιστών;

Το ακρωνύμιο OTP χρησιμοποιείται για να αναφέρεται σε δύο διαφορετικά πράγματα στην ασφάλεια του υπολογιστή. Η παλαιότερη έννοια είναι "Μονόκρανο", στα σύγχρονα περιβάλλοντα είναι πολύ πιο πιθανό να αναφέρεται σε "Κωδικός πρόσβασης/Κωδικός πρόσβασης/PIN μιας χρήσης". Όπως μπορείτε πιθανώς να μαντέψετε από την κοινή χρήση του όρου «One Time», υπάρχουν κάποιες ομοιότητες.

One Time Pad – βασικά

Το One Time Pad είναι μια μέθοδος κρυπτογράφησης. Θεωρητικά, είναι απόλυτα ασφαλές και αδύνατο να σπάσει. Ωστόσο, δεν χρησιμοποιείται ευρέως επειδή έχει διάφορους περιορισμούς και απαιτήσεις που εμποδίζουν σοβαρά τη βιωσιμότητά του στην πράξη. Το πρώτο ζήτημα είναι ότι το pad απαιτεί το κλειδί κρυπτογράφησης στο pad να είναι πραγματικά τυχαίο. Ακόμη και οι γεννήτριες ψευδοτυχαίων αριθμών PRNG που χρησιμοποιούνται για άλλους κρυπτογραφικούς σκοπούς δεν είναι αρκετά τυχαίοι για να είναι ασφαλείς. Οποιοδήποτε επίπεδο προβλεψιμότητας στο βασικό υλικό θέτει σε κίνδυνο την τέλεια προϋπόθεση μυστικότητας.

Η διαδικασία παραγωγής κλειδιού πρέπει να είναι απόλυτα ασφαλής. Επιπλέον, η μέθοδος επικοινωνίας του One Time Pad πρέπει να είναι ασφαλής. Όλα τα μέρη πρέπει επίσης να συνεχίσουν να αποθηκεύουν με ασφάλεια τα One Time Pads. Τα χρησιμοποιημένα κλειδιά μιας χρήσης πρέπει επίσης να απορρίπτονται με ασφάλεια. Το One Time Pad δεν προσφέρει μηχανισμό ελέγχου ταυτότητας. Ένας εισβολέας που γνωρίζει το απλό κείμενο και το κρυπτογραφημένο κείμενο, μπορεί να ανακτήσει το κλειδί. Στη συνέχεια, μπορούν να το χρησιμοποιήσουν για να δημιουργήσουν ένα διαφορετικό κρυπτογραφημένο κείμενο, αρκεί να διατηρούν το μήνυμα στο ίδιο μέγεθος ή μικρότερο. Τέλος, το μήνυμα που κρυπτογραφείται μπορεί να είναι όσο το προ-δημιουργημένο κλειδί.

Η χρήση του όρου "pad" προέρχεται από το γεγονός ότι στις περισσότερες περιπτώσεις χρήσης, διανέμεται μια σειρά πλήκτρων μιας χρήσης αξιοπρεπούς μεγέθους. Μια χρήσιμη μορφή είναι αυτή ενός σημειωματάριου με ένα μοναδικό κλειδί σε κάθε σελίδα. Όταν ένα μήνυμα πρέπει να κρυπτογραφηθεί, χρησιμοποιείται η κορυφαία σελίδα. Στη συνέχεια, η σελίδα συνήθως αφαιρείται και καταστρέφεται για να αποφευχθεί η παραβίαση ή η επαναχρησιμοποίησή της.

One Time Pad – επιπλοκές

Στην πράξη, το γεγονός ότι το One Time Pad πρέπει να δημιουργηθεί, να κοινοποιηθεί και να αποθηκευτεί με ασφάλεια, όπως κάθε κοινόχρηστο μυστικό, καθιστά πολύ δύσκολη τη χρήση του. Για παράδειγμα, ένα One Time Pad είναι τόσο ασφαλές όσο η μέθοδος επικοινωνίας. Εάν βασίζεστε στο HTTPS για την ασφαλή επικοινωνία του μαξιλαριού, ένας αντίπαλος με τη δυνατότητα να σπάσει αυτήν την κρυπτογράφηση TLS για να αποκτήσει το πληκτρολόγιο, τότε δεν θα έχει περαιτέρω προβλήματα αποκωδικοποίησης μηνυμάτων. Ως εκ τούτου, ένα ψηφιακά επικοινωνούμενο pad δεν προσφέρει καμία πρόσθετη ασφάλεια. Όταν χρησιμοποιείτε μια μέθοδο φυσικής μετάδοσης, π.χ. κούριερ ή νεκρή πτώση, το μαξιλαράκι είναι είτε ασφαλές είτε όχι. Αυτό κάνει τα φυσικά επιθέματα πολύ πιο χρήσιμα από τα ψηφιακά. Επιπλέον, τα One Time Pads που βασίζονται σε υπολογιστή είναι πολύ πιο δύσκολο να διαγραφούν με ασφάλεια και να αντιμετωπίσουν προβλήματα διατήρησης δεδομένων.

Εάν ένα One Time Pad έχει παραβιαστεί, μπορεί να χρησιμοποιηθεί για την αποκρυπτογράφηση προηγούμενων μηνυμάτων. Για να αποφευχθεί αυτό, συνήθως μια σελίδα καταστρέφεται, συχνά καίγεται. Αυτό αποτρέπει την επαναχρησιμοποίηση ή την ανακάλυψη του κλειδιού. Αν υποθέσουμε ότι ένα pad έχει παραβιαστεί αλλά ακολουθείται η πρακτική καταστροφής, τα προηγούμενα μηνύματα δεν μπορούν να αποκρυπτογραφηθούν. Ωστόσο, τα μελλοντικά μηνύματα θα μπορούν να αποκρυπτογραφηθούν.

Στην πράξη, η σύγχρονη κρυπτογραφία είναι συνήθως περισσότερο από αρκετά ασφαλής. Ένα πλεονέκτημα όμως που έχει ένα One Time Pad είναι ότι μπορεί να χρησιμοποιηθεί με το χέρι. Η σύγχρονη κρυπτογραφία είναι πολύ περίπλοκη και χρειάζεται έναν υπολογιστή για να χρησιμοποιηθεί αποτελεσματικά. Αυτό κάνει τα One Time Pads χρήσιμα σε περιβάλλοντα spycraft, όταν τα μηνύματα πρέπει να αποστέλλονται χωρίς χρήση Διαδικτύου ή υπολογιστών. Κατά τη διάρκεια του ψυχρού πολέμου, οι κατάσκοποι χρησιμοποιούσαν συχνά One Time Pads τυπωμένα σε χαρτί flash. Όντας από νιτροκυτταρίνη, μια χρησιμοποιημένη σελίδα θα μπορούσε να καεί πολύ γρήγορα χωρίς να δημιουργηθεί καπνός.

Κωδικός μιάς χρήσης

Ένας κωδικός πρόσβασης μίας χρήσης, είναι μια μυστική συμβολοσειρά που μπορεί να χρησιμοποιηθεί για έλεγχο ταυτότητας. Πρέπει να παραμείνει μυστικό, ωστόσο, σε αντίθεση με ένα One Time Pad, δεν μπορεί να χρησιμοποιηθεί για κρυπτογράφηση οτιδήποτε και δεν έχει συγκεκριμένες απαιτήσεις τυχαίας. Μια κοινή περίπτωση χρήσης για τους κωδικούς πρόσβασης μίας χρήσης είναι ο έλεγχος ταυτότητας δύο παραγόντων. Για παράδειγμα, μια εφαρμογή ελέγχου ταυτότητας δύο παραγόντων δημιουργεί έναν κωδικό μιας χρήσης με βάση την ώρα και ένα μυστικό για την επιβεβαίωση της ταυτότητάς σας. Ο One Time Password δεν χρειάζεται καν να είναι μοναδικός. Οι κωδικοί δύο παραγόντων είναι συχνά εξαψήφιοι. Αυτό παρέχει αρκετή τυχαιότητα ώστε να είναι εξαιρετικά απίθανο ο εισβολέας να μπορεί να μαντέψει ένα έγκυρο την κατάλληλη στιγμή.

Ορισμένες εταιρείες, όπως οι τράπεζες, μπορούν επίσης να δημιουργήσουν εκ των προτέρων μια λίστα με κωδικούς πρόσβασης μίας χρήσης και να τους ταχυδρομήσουν στους πελάτες τους για χρήση με την ηλεκτρονική τραπεζική. Οι One Time Passwords σε αυτήν την περίπτωση δεν μπορεί να είναι ίδιοι για όλους, αλλά δεν χρειάζεται απαραίτητα να είναι 100% μοναδικοί σε όλες τις περιπτώσεις.

Οι κωδικοί πρόσβασης μίας χρήσης μπορεί να είναι κάπως βαρετοί από την άποψη της εμπειρίας χρήστη. Οι κωδικοί πρόσβασης πρέπει να μεταδίδονται και να αποθηκεύονται με ασφάλεια ή να μπορούν να δημιουργηθούν με ασφάλεια. Το ηλεκτρονικό ψάρεμα είναι επίσης ένας κίνδυνος, ενώ οι κωδικοί πρόσβασης μίας χρήσης προσθέτουν ένα επιπλέον επίπεδο ευκαιρίας στον χρήστη να μην πέσει στο phish, ένας χρήστης που έχει ήδη πειστεί να παραδώσει το όνομα χρήστη και τον κωδικό πρόσβασής του θα παραδώσει επίσης και τον Κωδικό Μίας Χρήσης. .

συμπέρασμα

Στην ασφάλεια υπολογιστών, το OTP σημαίνει One Time Pad ή One Time Password. Το One Time Pad είναι μια τεχνική κρυπτογράφησης που προσφέρει τέλεια μυστικότητα. Έχει, ωστόσο, μια σειρά από απαιτήσεις που καθιστούν δύσκολη τη χρήση του στην πράξη και είναι γενικά πολύ δύσκολο να εφαρμοστεί σωστά σε υπολογιστές. Ωστόσο, τα One Time Pads μπορούν να χρησιμοποιηθούν με το χέρι, καθιστώντας τα χρήσιμα για παλιομοδίτικα spycraft. Οι κωδικοί πρόσβασης μίας χρήσης είναι μυστικές συμβολοσειρές που μπορούν να χρησιμοποιηθούν για τη σύνδεσή σας. Μπορούν να λειτουργήσουν παράλληλα ή αντί για έναν παραδοσιακό κωδικό πρόσβασης. Ο έλεγχος ταυτότητας δύο παραγόντων είναι ένα παράδειγμα εφαρμογής των One Time Passwords.