Que é un OTP en seguridade informática?

O acrónimo OTP úsase para referirse a dúas cousas diferentes na seguridade informática. O significado máis antigo é "One Time Pad", en contextos modernos é moito máis probable que se refira a "One Time Password/Passcode/PIN". Como probablemente podes adiviñar polo uso compartido do termo "Unha vez", hai algunhas semellanzas.

One Time Pad: conceptos básicos

Un One Time Pad é un método de cifrado. Teoricamente, é perfectamente seguro e imposible de rachar. Aínda que non se usa moito porque ten unha variedade de limitacións e requisitos que dificultan seriamente a súa viabilidade na práctica. O primeiro problema é que a almofada require que a clave de cifrado da almofada sexa realmente aleatoria. Mesmo os xeradores de números pseudoaleatorios PRNG usados ​​para outros fins criptográficos non son o suficientemente aleatorios como para ser seguros. Calquera nivel de previsibilidade do material clave compromete a premisa de segredo perfecto.

O proceso de xeración de chaves debe ser completamente seguro. Ademais, o método de comunicación do One Time Pad debe ser seguro. Todas as partes tamén deben seguir almacenando de forma segura as almofadas únicas. As chaves que se usan unha soa vez tamén se deben eliminar de forma segura. Un One Time Pad non ofrece ningún mecanismo de autenticación. Un atacante que coñeza o texto plano e o texto cifrado pode recuperar a clave. Despois poden usalo para xerar un texto cifrado diferente, sempre que manteñan a mensaxe do mesmo tamaño ou máis curta. Finalmente, a mensaxe que se está cifrando só pode ser tan longa como a clave xerada previamente.

O uso do termo "pad" vén do feito de que, na maioría dos casos de uso, distribúense unha serie de teclas únicas de tamaño decente. Un formato útil é o dun bloc de notas cunha tecla única en cada páxina. Cando hai que cifrar unha mensaxe, utilízase a páxina superior. a páxina normalmente elimínase e destrúese para evitar que se vexa comprometida ou reutilizada.

One Time Pad - complicacións

Na práctica, o feito de que o One Time Pad deba xerarse, comunicarse e almacenarse de forma segura, como calquera segredo compartido, fai que sexa moi difícil de usar. Por exemplo, un One Time Pad só é tan seguro como o método de comunicación. Se confías en HTTPS para comunicar de forma segura a almofada, un adversario que teña a capacidade de romper ese cifrado TLS para obter a almofada non tería máis problemas para decodificar as mensaxes. Polo tanto, un pad comunicado dixitalmente non ofrece ningunha seguridade adicional. Cando se utiliza un método de transmisión física, é dicir, un correo ou un dead drop, a almofada é segura ou non. Isto fai que as almofadas físicas sexan moito máis útiles que as dixitais. Ademais, os One Time Pads baseados en ordenador son moito máis difíciles de eliminar de forma segura e afrontar problemas de remanencia de datos.

Se un One Time Pad está comprometido, pódese usar para descifrar mensaxes anteriores. Para evitar isto, normalmente unha páxina destrúese, moitas veces queimada. Isto evita que a chave se reutilice ou se descubra. Asumindo que un pad está comprometido pero se segue a práctica de destrución, as mensaxes anteriores non se poden descifrar. As mensaxes futuras, con todo, poderían ser descifradas.

Na práctica, a criptografía moderna adoita ser o suficientemente segura. Unha vantaxe que ten un One Time Pad é que se pode usar a man. A criptografía moderna é moi complexa e necesita unha computadora para ser utilizada de forma eficiente. Isto fai que One Time Pads sexa útil en ambientes de espionaxe cando hai que enviar mensaxes sen usar Internet ou ordenadores. Durante a guerra fría, os espías a miúdo usaban One Time Pads impresos en papel flash. Ao estar feita de nitrocelulosa, unha páxina usada podería queimarse moi rapidamente sen xerar fume.

Contrasinal único

Un contrasinal único é unha cadea secreta que se pode usar para a autenticación. Debe permanecer en segredo, non obstante, a diferenza dun One Time Pad, non se pode usar para cifrar nada e non ten requisitos específicos de aleatoriedade. Un caso de uso común dos contrasinais únicos é a autenticación de dous factores. Por exemplo, unha aplicación de autenticación de dous factores xera un código dun só uso en función da hora e dun segredo para confirmar a túa identidade. O contrasinal único non necesariamente ten que ser único. Os códigos de dous factores adoitan ser de seis díxitos. Isto proporciona suficiente aleatoriedade como para que sexa moi improbable que un atacante poida adiviñar un válido no momento adecuado.

Algunhas empresas, como os bancos, tamén poden xerar previamente unha lista de contrasinais dun só uso e enviarllas por correo aos seus clientes para que o utilicen coa banca en liña. Os contrasinais únicos neste caso non poden ser iguais para todos, pero non necesariamente teñen que ser únicos ao 100 % en todos os casos.

Os contrasinais únicos poden ser algo torpes desde a perspectiva da experiencia do usuario. Os contrasinais deben ser transmitidos e almacenados de forma segura ou xerables de forma segura. O phishing tamén é un risco, mentres que os contrasinais únicos engaden unha capa adicional de oportunidade para que un usuario non caia na suplantación de identidade, un usuario que xa foi convencido de entregar o seu nome de usuario e contrasinal tamén normalmente tamén entregará o contrasinal único. .

Conclusión

En seguridade informática, OTP significa One Time Pad ou One Time Password. Un One Time Pad é unha técnica de cifrado que ofrece un segredo perfecto. Non obstante, ten unha serie de requisitos que o dificultan o seu uso na práctica e, en xeral, é moi complicado de implementar correctamente nos ordenadores. Non obstante, os One Time Pads pódense usar a man, o que os fai útiles para as espionaxes antigas. Os contrasinais únicos son cadeas secretas que se poden usar para iniciar sesión. Poden funcionar xunto ou en lugar dun contrasinal tradicional. A autenticación de dous factores é un exemplo de implementación de contrasinais únicos.