Hva er en OTP i datasikkerhet?

Akronymet OTP brukes for å referere til to forskjellige ting innen datasikkerhet. Den eldre betydningen er "One Time Pad", i moderne sammenhenger er det mye mer sannsynlig å referere til "One Time Password/Passcode/PIN". Som du sikkert kan gjette fra den delte bruken av begrepet "En gang", er det noen likheter.

One Time Pad – grunnleggende

En One Time Pad er en metode for kryptering. Teoretisk sett er den helt sikker og umulig å knekke. Det er imidlertid ikke mye brukt fordi det har en rekke begrensninger og krav som alvorlig hemmer dens levedyktighet i praksis. Det første problemet er at puten krever at krypteringsnøkkelen på puten er virkelig tilfeldig. Selv pseudo-tilfeldige tallgeneratorer PRNG-er som brukes til andre kryptografiske formål er ikke tilfeldige nok til å være sikre. Ethvert nivå av forutsigbarhet i nøkkelmaterialet kompromitterer den perfekte forutsetningen for hemmelighold.

Nøkkelgenereringsprosessen må være helt sikker. I tillegg må metoden for å kommunisere One Time Pad være sikker. Alle parter må da også fortsette å trygt oppbevare One Time Pads. Brukte engangsnøkler må også avhendes på en forsvarlig måte. En One Time Pad tilbyr ingen autentiseringsmekanisme. En angriper som kjenner klarteksten og chifferteksten, kan gjenopprette nøkkelen. De kan deretter bruke det til å generere en annen chiffertekst, så lenge de holder meldingen i samme størrelse eller kortere. Til slutt kan meldingen som krypteres bare være så lang som den forhåndsgenererte nøkkelen.

Bruken av begrepet "pad" kommer fra det faktum at det i de fleste brukstilfeller distribueres en rekke engangsnøkler av anstendig størrelse. Et nyttig format er en notisblokk med en unik nøkkel på hver side. Når en melding må krypteres, brukes den øverste siden. siden blir vanligvis fjernet og ødelagt for å forhindre at den blir kompromittert eller gjenbrukt.

One Time Pad – komplikasjoner

I praksis gjør det faktum at One Time Pad må genereres, kommuniseres og lagres sikkert, som enhver delt hemmelighet, den svært vanskelig å bruke. For eksempel er en One Time Pad bare like sikker som kommunikasjonsmetoden. Hvis du stoler på HTTPS for å kommunisere sikker kommunikasjon av puten, vil en motstander med muligheten til å bryte den TLS-krypteringen for å få puten ikke ha flere problemer med å dekode meldinger. Som sådan gir ikke en digitalt kommunisert pute noen ekstra sikkerhet. Når du bruker en fysisk overføringsmetode, det vil si en kurer, eller dead drop, er puten enten sikker eller ikke. Dette gjør fysiske pads mye mer nyttige enn digitale pads. I tillegg er datamaskinbaserte One Time Pads mye vanskeligere å sikkert slette og møte problemer med dataremanens.

Hvis en One Time Pad er kompromittert, kan den brukes til å dekryptere tidligere meldinger. For å unngå dette blir vanligvis en side ødelagt, ofte brent. Dette forhindrer at nøkkelen blir gjenbrukt, eller fra å bli oppdaget. Forutsatt at en blokk er kompromittert, men ødeleggelsespraksisen følges, kan tidligere meldinger ikke dekrypteres. Fremtidige meldinger vil imidlertid kunne dekrypteres.

I praksis er moderne kryptografi typisk mer enn sikker nok. En fordel en One Time Pad har imidlertid er at den kan brukes for hånd. Moderne kryptografi er svært kompleks og trenger en datamaskin for å kunne brukes effektivt. Dette gjør One Time Pads nyttig i spycraft-miljøer når meldinger må sendes uten å bruke Internett eller datamaskiner. Under den kalde krigen brukte spioner ofte One Time Pads trykket på flash-papir. Siden den er laget av nitrocellulose, kan en brukt side raskt brennes uten å generere røyk.

Engangspassord

Et engangspassord er en hemmelig streng som kan brukes til autentisering. Den må forbli hemmelig, men i motsetning til en One Time Pad kan den ikke brukes til å kryptere noe og har ingen spesifikke krav til tilfeldighet. Et vanlig bruksområde for engangspassord er tofaktorautentisering. For eksempel genererer en tofaktorautentiseringsapp en engangskode basert på tidspunktet og en hemmelighet for å bekrefte identiteten din. Engangspassordet trenger ikke engang nødvendigvis å være unikt. Tofaktorkoder er ofte sekssifrede. Dette gir nok tilfeldighet til å gjøre det ekstremt usannsynlig at en angriper kan gjette en gyldig til rett tid.

Noen selskaper, for eksempel banker, kan også forhåndsgenerere en liste over engangspassord og sende dem til kundene for bruk med nettbank. Engangspassordene i dette tilfellet kan ikke være like for alle, men trenger ikke nødvendigvis å være 100 % unike i alle tilfeller.

Engangspassord kan være noe klønete fra et brukeropplevelsesperspektiv. Passordene må overføres og lagres på en sikker måte, eller sikkert genereres. Phishing er også en risiko, mens engangspassord legger til et ekstra lag med mulighet for en bruker til å ikke falle for phishen, vil en bruker som allerede har blitt overbevist om å overlevere brukernavnet og passordet vanligvis også overlevere engangspassordet også .

Konklusjon

I datasikkerhet står OTP for One Time Pad eller One Time Password. En One Time Pad er en krypteringsteknikk som tilbyr perfekt hemmelighold. Den har imidlertid en rekke krav som gjør den vanskelig å bruke i praksis og er generelt veldig vanskelig å implementere riktig på datamaskiner. One Time Pads kan imidlertid brukes for hånd, noe som gjør dem nyttige for gammeldags spycraft. Engangspassord er hemmelige strenger som kan brukes til å logge deg på. De kan fungere sammen med eller i stedet for et tradisjonelt passord. Tofaktorautentisering er ett eksempel på implementering av engangspassord.