Hvað er OTP í tölvuöryggi?

Skammstöfunin OTP er notuð til að vísa til tveggja mismunandi hluta í tölvuöryggi. Eldri merkingin er „Eins tíma Pad“, í nútíma samhengi er mun líklegra að það vísi til „Eins tíma lykilorð/aðgangskóði/PIN“. Eins og þú getur sennilega giskað á af sameiginlegri notkun hugtaksins „Einu sinni“ eru nokkur líkindi.

One Time Pad – grunnatriði

One Time Pad er dulkóðunaraðferð. Fræðilega séð er það fullkomlega öruggt og ómögulegt að sprunga. Það er þó ekki mikið notað vegna þess að það hefur margvíslegar takmarkanir og kröfur sem hindra verulega hagkvæmni þess í reynd. Fyrsta málið er að púðinn krefst þess að dulkóðunarlykillinn á púðanum sé raunverulega af handahófi. Jafnvel PRNG gervi-handahófsnúmeraframleiðendur sem notaðir eru í öðrum dulritunartilgangi eru ekki nógu handahófi til að vera öruggir. Hvers kyns fyrirsjáanleiki í lykilefninu skerðir hina fullkomnu forsendu leyndarmáls.

Lyklamyndunarferlið verður að vera fullkomlega öruggt. Að auki verður aðferðin við að miðla One Time Pad að vera örugg. Allir aðilar verða þá einnig að halda áfram að geyma One Time Pads á öruggan hátt. Notuðum einskiptalyklum verður einnig að farga á öruggan hátt. One Time Pad býður ekki upp á neina auðkenningarbúnað. Árásarmaður sem þekkir textann og dulmálstextann getur endurheimt lykilinn. Þeir geta síðan notað það til að búa til annan dulmálstexta, svo framarlega sem þeir halda skilaboðunum í sömu stærð eða styttri. Að lokum, skilaboðin sem eru dulkóðuð geta aðeins verið eins löng og formyndaður lykillinn.

Notkun hugtaksins „púði“ kemur frá þeirri staðreynd að í flestum notkunartilfellum er sæmilega stór röð af einskiptislyklum dreift. Gagnlegt snið er skrifblokk með einstökum lykli á hverri síðu. Þegar dulkóða þarf skilaboð er efsta síðan notuð. síðan er síðan venjulega fjarlægð og eytt til að koma í veg fyrir að hún sé í hættu eða endurnýtt.

One Time Pad – fylgikvillar

Í reynd, sú staðreynd að One Time Pad verður að vera tryggilega búið til, miðlað og geymt, eins og hvert sameiginlegt leyndarmál, gerir það mjög erfitt í notkun. Til dæmis er One Time Pad aðeins eins öruggt og samskiptaaðferðin. Ef þú treystir á HTTPS til að miðla púðanum á öruggan hátt, myndi andstæðingur með getu til að brjóta þessa TLS dulkóðun til að fá púðann ekki hafa frekari vandamál með að afkóða skilaboð. Sem slíkur býður stafrænt miðlað púði ekki upp á neitt viðbótaröryggi. Þegar þú notar líkamlega sendingaraðferð, þ.e. hraðboði, eða dauðfall, er púðinn annaðhvort öruggur eða ekki. Þetta gerir líkamlega púða mun gagnlegri en stafrænar púðar. Að auki er mun erfiðara að eyða tölvutengdum One Time Pads á öruggan hátt og standa frammi fyrir vandamálum um endurheimt gagna.

Ef One Time Pad er í hættu er hægt að nota það til að afkóða fyrri skilaboð. Til að forðast þetta er síðu venjulega eytt, oft brennd. Þetta kemur í veg fyrir að lykillinn sé endurnotaður eða að hann uppgötvist. Að því gefnu að púði sé í hættu en eyðingaraðferðinni sé fylgt, er ekki hægt að afkóða fyrri skilaboð. Hins vegar væri hægt að afkóða skilaboð í framtíðinni.

Í reynd er nútíma dulritun yfirleitt meira en nógu örugg. Einn kostur One Time Pad hefur þó er að hægt er að nota hann í höndunum. Nútíma dulmál er mjög flókið og þarf tölvu til að nota á skilvirkan hátt. Þetta gerir One Time Pads gagnlegt í spycraft umhverfi þegar senda þarf skilaboð án þess að nota internetið eða tölvur. Á tímum kalda stríðsins notuðu njósnarar oft One Time Pads sem prentaðir voru á flash-pappír. Með því að vera úr nítrósellulósa var hægt að brenna notaða síðu mjög fljótt án þess að mynda reyk.

Eingangs lykilorð

A One Time Password, er leynilegur strengur sem hægt er að nota til auðkenningar. Það þarf að vera leyndarmál, en ólíkt One Time Pad er ekki hægt að nota það til að dulkóða neitt og hefur engar sérstakar kröfur um handahófi. Algengt notkunartilvik fyrir One Time Passwords er í tvíþættri auðkenningu. Til dæmis býr tveggja þátta auðkenningarforrit til einnota kóða sem byggist á tímanum og leyndarmáli til að staðfesta hver þú ert. The One Time Password, þarf ekki einu sinni endilega að vera einstakt. Tveggja þátta kóðar eru oft sex tölustafir. Þetta veitir nóg af handahófi til að gera það afar ólíklegt að árásarmaður geti giskað á gilt á réttum tíma.

Sum fyrirtæki, eins og bankar, geta einnig búið til lista yfir einnota lykilorð og sent þau til viðskiptavina sinna til notkunar með netbanka. Eingangslykilorðin í þessu tilfelli geta ekki verið eins fyrir alla, en þurfa ekki endilega að vera 100% einstök í öllum tilvikum.

Eingangslykilorð geta verið nokkuð klunnaleg frá sjónarhóli notendaupplifunar. Lykilorðin þurfa að vera send og geymd á öruggan hátt eða hægt að búa þau til á öruggan hátt. Vefveiðar eru líka áhætta, á meðan einskiptislykilorð bæta við aukalagi af tækifærum fyrir notanda til að falla ekki fyrir netfiskinum, notandi sem hefur þegar verið sannfærður um að afhenda notandanafn sitt og lykilorð mun venjulega einnig afhenda einu sinni lykilorðið líka .

Niðurstaða

Í tölvuöryggi stendur OTP fyrir One Time Pad eða One Time Password. One Time Pad er dulkóðunartækni sem býður upp á fullkomna leynd. Það hefur þó ýmsar kröfur sem gera það óþægilegt að nota í reynd og er almennt mjög erfitt að útfæra það rétt á tölvum. One Time Pads er þó hægt að nota í höndunum, sem gerir þá gagnlegt fyrir gamaldags njósnavél. Eingangslykilorð eru leynilegir strengir sem hægt er að nota til að skrá þig inn. Þeir geta virkað samhliða eða í stað hefðbundins lykilorðs. Tveggja þátta auðkenning er eitt dæmi um útfærslu á One Time Passwords.