Какво е OTP в компютърната сигурност?

Акронимът OTP се използва за обозначаване на две различни неща в компютърната сигурност. По-старото значение е „Еднократна подложка“, в съвременния контекст е много по-вероятно да се отнася до „Еднократна парола/парола/ПИН“. Както вероятно можете да предположите от споделеното използване на термина „Еднократно“, има някои прилики.

One Time Pad – основи

One Time Pad е метод за криптиране. Теоретично той е напълно сигурен и невъзможен за кракване. Въпреки това не се използва широко, тъй като има различни ограничения и изисквания, които сериозно възпрепятстват неговата жизнеспособност на практика. Първият проблем е, че подложката изисква ключът за криптиране на подложката да бъде наистина случаен. Дори PRNG генераторите на псевдослучайни числа, използвани за други криптографски цели, не са достатъчно произволни, за да бъдат сигурни. Всяко ниво на предвидимост в ключовия материал компрометира перфектната предпоставка за секретност.

Процесът на генериране на ключ трябва да бъде напълно защитен. Освен това методът за комуникация с One Time Pad трябва да бъде защитен. След това всички страни трябва да продължат да съхраняват сигурно еднократните подложки. Използваните еднократни ключове също трябва да се изхвърлят сигурно. One Time Pad не предлага механизъм за удостоверяване. Нападател, който знае открития текст и шифрования текст, може да възстанови ключа. След това те могат да го използват, за да генерират различен шифрован текст, стига да запазят съобщението със същия размер или по-кратко. И накрая, съобщението, което се криптира, може да бъде толкова дълго, колкото предварително генерираният ключ.

Използването на термина „подложка“ идва от факта, че в повечето случаи на употреба се разпространяват серия от еднократни ключове с приличен размер. Полезен формат е този на бележник с уникален ключ на всяка страница. Когато едно съобщение трябва да бъде криптирано, се използва най-горната страница. след това страницата обикновено се премахва и унищожава, за да се предотврати компрометиране или повторно използване.

One Time Pad – усложнения

На практика фактът, че One Time Pad трябва да бъде сигурно генериран, съобщен и съхранен, като всяка споделена тайна, го прави много труден за използване. Например, One Time Pad е толкова сигурен, колкото и методът на комуникация. Ако разчитате на HTTPS за сигурна комуникация на подложката, противник с възможността да разбие това TLS криптиране, за да получи подложката, няма да има допълнителни проблеми с декодирането на съобщения. Като такава, дигитално комуникираната подложка не предлага допълнителна сигурност. Когато използвате физически метод на предаване, т.е. чрез куриер или мъртво предаване, подложката или е защитена, или не. Това прави физическите подложки много по-полезни от цифровите подложки. Освен това компютърно базираните еднократни подложки са много по-трудни за сигурно изтриване и се сблъскват с проблеми със запазването на данните.

Ако One Time Pad е компрометиран, той може да се използва за дешифриране на минали съобщения. За да се избегне това, обикновено една страница се унищожава, често се изгаря. Това предотвратява повторната употреба или откриването на ключа. Ако приемем, че подложката е компрометирана, но се следва практиката за унищожаване, минали съобщения не могат да бъдат декриптирани. Бъдещите съобщения обаче тогава ще могат да бъдат декриптирани.

На практика съвременната криптография обикновено е повече от достатъчно сигурна. Едно предимство на One Time Pad обаче е, че може да се използва на ръка. Съвременната криптография е много сложна и се нуждае от компютър, за да се използва ефективно. Това прави One Time Pads полезни в шпионска среда, когато съобщенията трябва да бъдат изпратени без използване на интернет или компютри. По време на Студената война шпионите често използваха One Time Pads, отпечатани на флаш хартия. Тъй като е направена от нитроцелулоза, използваната страница може да бъде много бързо изгорена, без да генерира дим.

Еднократна парола

Еднократната парола е таен низ, който може да се използва за удостоверяване. Трябва да остане в тайна, но за разлика от One Time Pad, не може да се използва за криптиране на нищо и няма специфични изисквания за случайност. Често срещан случай на използване на еднократни пароли е двуфакторното удостоверяване. Например, приложение за двуфакторно удостоверяване генерира код за еднократна употреба въз основа на времето и тайна, за да потвърди вашата самоличност. Еднократната парола дори не е задължително да е уникална. Двуфакторните кодове често са шестцифрени. Това осигурява достатъчно произволност, за да е изключително малко вероятно нападателят да познае валиден такъв в точния момент.

Някои компании, като банки, могат също да генерират предварително списък с пароли за еднократна употреба и да ги изпратят по пощата на своите клиенти за използване с онлайн банкиране. Еднократните пароли в този случай не могат да бъдат еднакви за всички, но не е задължително да са 100% уникални във всички случаи.

Еднократните пароли могат да бъдат малко тромави от гледна точка на потребителското изживяване. Паролите трябва да бъдат сигурно предадени и съхранени или сигурно генерирани. Фишингът също е риск, докато еднократните пароли добавят допълнителен слой възможности за потребителя да не се поддаде на фишинг, потребител който вече е бил убеден да предаде своето потребителско име и парола, обикновено ще предаде и Еднократната парола.

Заключение

В компютърната сигурност OTP означава One Time Pad или One Time Password. One Time Pad е техника за криптиране, която предлага перфектна секретност. Той обаче има редица изисквания, които го правят неудобен за използване на практика и като цяло е много труден за правилно прилагане на компютри. One Time Pads обаче могат да се използват на ръка, което ги прави полезни за старомодния шпионски кораб. Еднократните пароли са секретни низове, които могат да се използват за влизане. те могат да работят заедно или вместо традиционна парола. Двуфакторното удостоверяване е един пример за внедряване на еднократни пароли.