Što je OTP u računalnoj sigurnosti?

Akronim OTP koristi se za označavanje dvije različite stvari u računalnoj sigurnosti. Starije značenje je "jednokratna pločica", u modernim kontekstima puno je vjerojatnije da se odnosi na "jednokratnu lozinku/zaporku/PIN". Kao što vjerojatno možete pogoditi iz zajedničke upotrebe izraza "jedno vrijeme", postoje neke sličnosti.

One Time Pad – osnove

Jednokratni blok je metoda šifriranja. Teoretski, savršeno je siguran i nemoguće ga je provaliti. Iako se ne koristi široko jer ima niz ograničenja i zahtjeva koji ozbiljno ometaju njegovu održivost u praksi. Prvi problem je da podloga zahtijeva da ključ za šifriranje na podlozi bude doista nasumičan. Čak ni PRNG generatori pseudoslučajnih brojeva koji se koriste u druge kriptografske svrhe nisu dovoljno nasumični da bi bili sigurni. Bilo koja razina predvidljivosti u ključnom materijalu ugrožava savršenu premisu tajnosti.

Proces generiranja ključa mora biti potpuno siguran. Osim toga, način komunikacije s jednokratnim blokom mora biti siguran. Sve strane tada također moraju nastaviti sigurno pohranjivati ​​jednokratne jastučiće. Korištene jednokratne ključeve također je potrebno sigurno zbrinuti. One Time Pad ne nudi nikakav mehanizam provjere autentičnosti. Napadač koji zna otvoreni tekst i šifrirani tekst može povratiti ključ. Zatim to mogu koristiti za generiranje drugačijeg šifriranog teksta, sve dok poruka ostane iste veličine ili kraće. Naposljetku, poruka koja se šifrira može biti dugačka samo onoliko koliko je dugačak prethodno generirani ključ.

Upotreba izraza "pad" dolazi iz činjenice da se u većini slučajeva distribuira niz jednokratnih ključeva pristojne veličine. Koristan format je bilježnica s jedinstvenim ključem na svakoj stranici. Kada poruku treba šifrirati, koristi se najgornja stranica. stranica se zatim obično uklanja i uništava kako bi se spriječilo njeno ugrožavanje ili ponovna uporaba.

One Time Pad – komplikacije

U praksi, činjenica da se One Time Pad mora sigurno generirati, komunicirati i pohraniti, kao i svaka zajednička tajna, čini ga vrlo teškim za korištenje. Na primjer, One Time Pad siguran je onoliko koliko je siguran i način komunikacije. Ako se za sigurnu komunikaciju računala oslanjate na HTTPS, protivnik s mogućnošću razbijanja te TLS enkripcije kako bi dobio blok ne bi više imao problema s dekodiranjem poruka. Kao takav, digitalno komunicirani blok ne nudi nikakvu dodatnu sigurnost. Kada se koristi fizička metoda prijenosa, tj. kurir ili mrtva isporuka, jastučić je ili siguran ili nije. Zbog toga su fizički blokovi mnogo korisniji od digitalnih. Osim toga, računalne jednokratne jastučiće puno je teže sigurno izbrisati i suočavaju se s problemima zadržavanja podataka.

Ako je One Time Pad ugrožen, može se koristiti za dešifriranje prošlih poruka. Da bi se to izbjeglo, obično se stranica uništi, često spali. Time se sprječava ponovna uporaba ili otkrivanje ključa. Pod pretpostavkom da je blok kompromitiran, ali se slijedi praksa uništavanja, prošle poruke se ne mogu dešifrirati. Međutim, buduće poruke tada bi se mogle dešifrirati.

U praksi, moderna kriptografija obično je više nego dovoljno sigurna. Jedna prednost jednokratnog jastučića je da se može koristiti ručno. Moderna kriptografija je vrlo složena i treba računalo da bi se učinkovito koristila. Zbog toga su jednokratni jastučići korisni u špijunskim okruženjima kada je potrebno poslati poruke bez korištenja interneta ili računala. Tijekom hladnog rata, špijuni su često koristili jednokratne blokove tiskane na flash papiru. Budući da je izrađena od nitroceluloze, iskorištena stranica može se vrlo brzo spaliti bez stvaranja dima.

Jednokratna lozinka

Jednokratna lozinka tajni je niz koji se može koristiti za provjeru autentičnosti. Mora ostati tajna, međutim, za razliku od One Time Pad-a, ne može se koristiti za šifriranje bilo čega i nema posebne zahtjeve za slučajnost. Uobičajen slučaj upotrebe jednokratnih lozinki je provjera autentičnosti u dva faktora. Na primjer, aplikacija za autentifikaciju s dva faktora generira jednokratni kod na temelju vremena i tajne za potvrdu vašeg identiteta. Jednokratna lozinka čak i ne mora nužno biti jedinstvena. Kodovi s dva faktora često imaju šest znamenki. To osigurava dovoljno nasumičnosti da je vrlo malo vjerojatno da napadač može pogoditi valjani u pravom trenutku.

Neke tvrtke, poput banaka, također mogu unaprijed generirati popis jednokratnih lozinki i poslati ih svojim klijentima za korištenje s internetskim bankarstvom. Jednokratne lozinke u ovom slučaju ne mogu biti iste za sve, ali ne moraju nužno biti 100% jedinstvene u svim slučajevima.

Jednokratne lozinke mogu biti pomalo nezgrapne iz perspektive korisničkog iskustva. Zaporke moraju biti sigurno prenošene i pohranjene ili sigurno generirane. Phishing je također rizik, dok jednokratne lozinke dodaju dodatni sloj mogućnosti korisniku da ne nasjedne na krađu identiteta, korisnik koji je već bio uvjeren da preda svoje korisničko ime i lozinku obično će predati i jednokratnu lozinku .

Zaključak

U računalnoj sigurnosti, OTP je kratica za One Time Pad ili One Time Password. Jednokratni blok je tehnika šifriranja koja nudi savršenu tajnost. Međutim, ima niz zahtjeva koji ga čine nezgodnim za korištenje u praksi i općenito ga je vrlo teško pravilno implementirati na računala. One Time Pads se ipak mogu koristiti ručno, što ih čini korisnim za staromodnu špijunsku vještinu. Jednokratne lozinke su tajni nizovi koji se mogu koristiti za prijavu. Mogu raditi uz ili umjesto tradicionalne lozinke. Dvofaktorska provjera autentičnosti jedan je od primjera implementacije jednokratnih lozinki.