Akronymet OTP bruges til at henvise til to forskellige ting inden for computersikkerhed. Den ældre betydning er "One Time Pad", i moderne sammenhænge er det meget mere sandsynligt at henvise til "One Time Password/Adgangskode/PIN". Som du sikkert kan gætte ud fra den fælles brug af udtrykket "One Time", er der nogle ligheder.
One Time Pad – grundlæggende
En One Time Pad er en metode til kryptering. Teoretisk set er den helt sikker og umulig at knække. Det er dog ikke meget brugt, fordi det har en række begrænsninger og krav, der alvorligt hæmmer dets levedygtighed i praksis. Det første problem er, at puden kræver, at krypteringsnøglen på puden er virkelig tilfældig. Selv pseudo-tilfældige talgeneratorer PRNG'er, der bruges til andre kryptografiske formål, er ikke tilfældige nok til at være sikre. Ethvert niveau af forudsigelighed i nøglematerialet kompromitterer den perfekte hemmeligholdelsesforudsætning.
Nøglegenereringsprocessen skal være fuldstændig sikker. Derudover skal metoden til at kommunikere One Time Pad være sikker. Alle parter skal så også fortsætte med at opbevare One Time Pads sikkert. Brugte engangsnøgler skal også bortskaffes forsvarligt. En One Time Pad tilbyder ikke nogen godkendelsesmekanisme. En angriber, der kender klarteksten og chifferteksten, kan gendanne nøglen. De kan derefter bruge det til at generere en anden chiffertekst, så længe de holder beskeden i samme størrelse eller kortere. Endelig kan meddelelsen, der krypteres, kun være så lang som den forudgenererede nøgle.
Brugen af udtrykket "pad" kommer fra det faktum, at der i de fleste tilfælde distribueres en anstændig størrelse serie af engangsnøgler. Et nyttigt format er et notesblok med en unik nøgle på hver side. Når en besked skal krypteres, bruges den øverste side. siden bliver så typisk fjernet og ødelagt for at forhindre, at den bliver kompromitteret eller genbrugt.
One Time Pad – komplikationer
I praksis gør det faktum, at One Time Pad skal genereres, kommunikeres og opbevares sikkert, ligesom enhver delt hemmelighed, den meget vanskelig at bruge. For eksempel er en One Time Pad kun så sikker som kommunikationsmetoden. Hvis du stoler på HTTPS til sikker kommunikation af pad'en, vil en modstander med evnen til at bryde denne TLS-kryptering for at få pad'en ikke have yderligere problemer med at afkode beskeder. Som sådan tilbyder en digitalt kommunikeret pad ikke nogen ekstra sikkerhed. Når du bruger en fysisk transmissionsmetode, det vil sige en kurer, eller dead drop, er puden enten sikker, eller også er den ikke. Dette gør fysiske puder meget mere nyttige end digitale puder. Derudover er computerbaserede One Time Pads meget sværere at slette sikkert og står over for problemer med data-remanence.
Hvis en One Time Pad er kompromitteret, kan den bruges til at dekryptere tidligere beskeder. For at undgå dette bliver en side typisk ødelagt, ofte brændt. Dette forhindrer nøglen i at blive genbrugt, eller i at blive opdaget. Forudsat at en pad er kompromitteret, men ødelæggelsespraksisen følges, kan tidligere meddelelser ikke dekrypteres. Fremtidige meddelelser vil dog så kunne dekrypteres.
I praksis er moderne kryptografi typisk mere end sikker nok. En fordel en One Time Pad har dog er, at den kan bruges i hånden. Moderne kryptografi er meget kompleks og kræver en computer for at blive brugt effektivt. Dette gør One Time Pads nyttige i spycraft-miljøer, når meddelelser skal sendes uden brug af internettet eller computere. Under den kolde krig brugte spioner ofte One Time Pads trykt på flash-papir. Da den er lavet af nitrocellulose, kan en brugt side meget hurtigt brændes uden at udvikle røg.
Engangskodeord
En engangsadgangskode er en hemmelig streng, der kan bruges til godkendelse. Det skal forblive hemmeligt, men i modsætning til en One Time Pad kan det ikke bruges til at kryptere noget og har ingen specifikke krav til tilfældighed. Et almindeligt eksempel på engangsadgangskoder er tofaktorautentificering. For eksempel genererer en to-faktor-godkendelsesapp en engangskode baseret på tidspunktet og en hemmelighed for at bekræfte din identitet. One Time Password behøver ikke engang nødvendigvis at være unikt. Tofaktorkoder er ofte sekscifrede. Dette giver tilstrækkelig tilfældighed til at gøre det ekstremt usandsynligt, at en angriber kan gætte en gyldig en på det rigtige tidspunkt.
Nogle virksomheder, såsom banker, kan også på forhånd generere en liste over engangsadgangskoder og sende dem til deres kunder til brug med netbank. One Time Passwords i dette tilfælde kan ikke være ens for alle, men behøver ikke nødvendigvis at være 100 % unikke i alle tilfælde.
Engangsadgangskoder kan være noget klodsede fra et brugeroplevelsesperspektiv. Adgangskoderne skal overføres og opbevares sikkert eller sikkert kunne genereres. Phishing er også en risiko, mens engangsadgangskoder tilføjer et ekstra lag af mulighed for, at en bruger ikke falder for phishen, en bruger som allerede er blevet overbevist om at aflevere deres brugernavn og adgangskode, vil typisk også aflevere One Time Password også.
Konklusion
I computersikkerhed står OTP for One Time Pad eller One Time Password. En One Time Pad er en krypteringsteknik, der tilbyder perfekt hemmeligholdelse. Den har dog en række krav, der gør den besværlig at bruge i praksis og er generelt meget vanskelig at implementere korrekt på computere. One Time Pads kan dog bruges i hånden, hvilket gør dem nyttige til gammeldags spycraft. Engangsadgangskoder er hemmelige strenge, der kan bruges til at logge dig ind. de kan arbejde sammen med eller i stedet for en traditionel adgangskode. To-faktor-godkendelse er et eksempel på en implementering af engangsadgangskoder.