Que é un nonce criptográfico?

No campo da criptografía, é importante que as cousas que se supón que son secretas queden en segredo. Un problema ao que se enfronta é o precómputo. Aquí é onde un atacante pode gastar un poder de procesamento considerable para determinar cales son os resultados dunha combinación de entradas de forma preventiva. Con suficiente potencia e tempo de procesamento, podes probar a saída que obtén cunha selección de entradas especificadas e unha morea de claves de cifrado diferentes.

Despois, podes comprobar amplas franxas de transmisións cifradas para ver se algunha das túas saídas coñecidas apareceu e coñecer a mensaxe e a clave utilizadas. Desafortunadamente, non hai forma real de evitar por completo este escenario. Non obstante, é posible facelo moito máis difícil.

Xa é difícil adiviñar o contido exacto dunha mensaxe e a clave de cifrado utilizada para cifrala. Aínda que as diferenzas dun só carácter na mensaxe farían inútil todo o esforzo, só é realmente viable para mensaxes breves e sinxelas. En caso contrario, hai demasiadas variacións posibles de fraseo e redacción, e mesmo o risco de erros tipográficos e argot. Pero mesmo este risco da capacidade de adiviñar as cousas é demasiado alto. Para facer as cousas aínda máis difíciles, a maioría dos esquemas de criptografía requiren un terceiro valor chamado "vector de inicialización" ou IV para abreviar.

IV

O IV é outro valor introducido no algoritmo de cifrado e descifrado. É unha terceira variable para a ecuación, que pola súa mesma presenza aumenta enormemente a dificultade de adiviñar correctamente as entradas necesarias para xerar unha saída específica. Curiosamente, o IV nin sequera ten que ser secreto. O que ten que ser é único.

Todo o problema para evitar ataques de precomputación é facer que sexa aínda máis inviable adiviñar o contido das mensaxes. Para iso, non podes escoller un IV e quedarte con el; debes cambialo. Ademais, usar un IV diferente cada vez dificulta a criptoanálise dos textos cifrados resultantes. Para ter un valor único e fiable, quere usar un "nonce", concretamente un nonce criptográfico.

Un nonce criptográfico é un valor xerado por un PRNG criptograficamente seguro ou un xerador de números pseudoaleatorios destinado a usarse unha vez. Normalmente, isto conséguese incorporando algún tipo de marca de tempo dentro do valor.

Consello: especialmente cando se trata cun falante nativo do inglés británico, é esencial usar especificamente a frase "nonce criptográfico" en lugar de só a palabra "unha vez". No Reino Unido, "unha vez" é unha palabra argotizada para un pederasta. En xeral, para evitar calquera confusión, é mellor empregar o termo nonce criptográfico especificamente.

Outros Usos

Aínda que a maioría dos casos de uso potenciais para valores únicos non precisan necesariamente dun número aleatorio criptograficamente seguro, un nonce criptográfico encaixa cos requisitos. Por exemplo, un ataque de repetición é un ataque baseado na web no que un atacante envía repetidamente a mesma peza de tráfico, reproducíndoa a miúdo. Digamos que esta solicitude dille ao servidor que dedique tempo a xerar un informe. O atacante pode multiplicar a cantidade de traballo necesaria repetindo a solicitude varias veces.

Moitas veces, o atacante tamén pode modificar lixeiramente a solicitude de forma automatizada. Por exemplo, se unha tenda en liña usa números de produto secuenciais no URL da páxina, o atacante pode automatizar o proceso de solicitude de todos eles.

Para evitar isto, o servidor pode proporcionar ao navegador un token dun só uso con cada solicitude que fai. O servidor fai un seguimento dos tokens usados ​​e elimina automaticamente o tráfico que non inclúe un token válido e non utilizado. Neste escenario, o token debe ser único e non debe reutilizarse. Así, un nonce criptográfico encaixa na factura.

Conclusión

Un nonce criptográfico é un número aleatorio criptograficamente seguro que só debe usarse unha vez. Facer isto imposibilita os ataques previos ao cálculo sen esixir que o propio nonce criptográfico permaneza en segredo. O seu uso principal é como vector de inicialización nos esquemas de cifrado.

Adóitase afirmar que o termo significa "número usado UNHA VEZ"; porén, esta é unha etimoloxía falsa. A palabra provén do inglés medio para significar algo usado unha vez ou temporalmente. Non obstante, o concepto de "número usado unha vez" axuda a explicar para que está destinado un nonce criptográfico. Para axudar con este obxectivo, moitas veces inclúe algún tipo de marca de tempo.