Das Akronym OTP bezieht sich auf zwei verschiedene Dinge in der Computersicherheit. Die ältere Bedeutung ist „One Time Pad“, in modernen Kontexten bezieht es sich viel eher auf „One Time Password/Passcode/PIN“. Wie Sie wahrscheinlich anhand der häufigen Verwendung des Begriffs „One Time“ erraten können, gibt es einige Ähnlichkeiten.
One Time Pad – Grundlagen
Ein One Time Pad ist eine Methode zur Verschlüsselung. Theoretisch ist es absolut sicher und kann nicht geknackt werden. Allerdings ist es nicht weit verbreitet, da es eine Reihe von Einschränkungen und Anforderungen aufweist, die seine praktische Anwendbarkeit erheblich beeinträchtigen. Das erste Problem besteht darin, dass das Pad erfordert, dass der Verschlüsselungsschlüssel auf dem Pad wirklich zufällig ist. Selbst Pseudozufallszahlengeneratoren (PRNGs), die für andere kryptografische Zwecke verwendet werden, sind nicht zufällig genug, um sicher zu sein. Jedes Maß an Vorhersehbarkeit im Schlüsselmaterial gefährdet die perfekte Geheimhaltungsprämisse.
Der Schlüsselgenerierungsprozess muss absolut sicher sein. Darüber hinaus muss die Methode zur Kommunikation des One Time Pad sicher sein. Alle Parteien müssen dann auch weiterhin die One Time Pads sicher aufbewahren. Auch gebrauchte Einmalschlüssel müssen sicher entsorgt werden. Ein One Time Pad bietet keinen Authentifizierungsmechanismus. Ein Angreifer, der den Klartext und den Chiffretext kennt, kann den Schlüssel wiederherstellen. Sie können damit dann einen anderen Chiffretext generieren, solange die Nachricht gleich groß oder kürzer bleibt. Schließlich kann die zu verschlüsselnde Nachricht nur so lang sein wie der vorab generierte Schlüssel.
Die Verwendung des Begriffs „Pad“ ergibt sich aus der Tatsache, dass in den meisten Anwendungsfällen eine Reihe von Einmaltasten in angemessener Größe verteilt werden. Ein nützliches Format ist das eines Notizblocks mit einem eindeutigen Schlüssel auf jeder Seite. Wenn eine Nachricht verschlüsselt werden muss, wird die oberste Seite verwendet. Die Seite wird dann normalerweise entfernt und zerstört, um zu verhindern, dass sie gefährdet oder wiederverwendet wird.
One Time Pad – Komplikationen
In der Praxis erschwert die Tatsache, dass das One Time Pad wie jedes gemeinsame Geheimnis sicher generiert, kommuniziert und gespeichert werden muss, seine Verwendung sehr. Beispielsweise ist ein One Time Pad nur so sicher wie die Kommunikationsmethode. Wenn Sie sich auf HTTPS verlassen, um das Pad sicher zu kommunizieren, hätte ein Angreifer, der die TLS-Verschlüsselung knacken kann, um an das Pad zu gelangen, keine weiteren Probleme beim Dekodieren von Nachrichten. Daher bietet ein digital kommuniziertes Pad keine zusätzliche Sicherheit. Bei Verwendung einer physischen Übertragungsmethode, z. B. eines Kuriers oder einer Dead Drop, ist das Pad entweder sicher oder nicht. Dadurch sind physische Pads viel nützlicher als digitale Pads. Darüber hinaus sind computerbasierte One Time Pads viel schwieriger sicher zu löschen und weisen Probleme mit der Datenremanenz auf.
Wenn ein One Time Pad kompromittiert wird, kann es zum Entschlüsseln früherer Nachrichten verwendet werden. Um dies zu vermeiden, wird eine Seite normalerweise zerstört, oft auch verbrannt. Dadurch wird verhindert, dass der Schlüssel wiederverwendet oder entdeckt wird. Unter der Annahme, dass ein Pad kompromittiert ist, aber die Zerstörungspraxis befolgt wird, können frühere Nachrichten nicht entschlüsselt werden. Zukünftige Nachrichten könnten dann jedoch entschlüsselt werden.
In der Praxis ist die moderne Kryptographie in der Regel mehr als sicher genug. Ein Vorteil eines One Time Pads besteht jedoch darin, dass es von Hand verwendet werden kann. Die moderne Kryptographie ist sehr komplex und erfordert zur effizienten Nutzung einen Computer. Dies macht One Time Pads in Spionageumgebungen nützlich, wenn Nachrichten ohne Verwendung des Internets oder von Computern gesendet werden müssen. Während des Kalten Krieges verwendeten Spione oft auf Flash-Papier gedruckte One-Time-Pads. Da es aus Nitrozellulose besteht, kann eine gebrauchte Seite sehr schnell verbrannt werden, ohne dass Rauch entsteht.
Einmaliges Passwort
Ein Einmalpasswort ist eine geheime Zeichenfolge, die zur Authentifizierung verwendet werden kann. Es muss geheim bleiben, kann jedoch im Gegensatz zu einem One Time Pad nicht zum Verschlüsseln von irgendetwas verwendet werden und erfordert keine besonderen Zufälligkeitsanforderungen. Ein häufiger Anwendungsfall für Einmalpasswörter ist die Zwei-Faktor-Authentifizierung. Beispielsweise generiert eine Zwei-Faktor-Authentifizierungs-App basierend auf der Uhrzeit und einem Geheimnis einen Einmalcode zur Bestätigung Ihrer Identität. Das Einmalpasswort muss nicht unbedingt einmalig sein. Zwei-Faktor-Codes sind oft sechsstellig. Dies bietet genügend Zufälligkeit, um es äußerst unwahrscheinlich zu machen, dass ein Angreifer zum richtigen Zeitpunkt einen gültigen Wert erraten kann.
Einige Unternehmen, beispielsweise Banken, erstellen möglicherweise auch vorab eine Liste mit Einmalpasswörtern und senden diese an ihre Kunden zur Verwendung beim Online-Banking. Die Einmalpasswörter können in diesem Fall nicht für alle gleich sein, müssen aber auch nicht unbedingt in allen Fällen zu 100 % eindeutig sein.
Einmalpasswörter können aus Sicht des Benutzererlebnisses etwas umständlich sein. Die Passwörter müssen sicher übertragen und gespeichert bzw. sicher generierbar sein. Phishing stellt ebenfalls ein Risiko dar, während Einmalpasswörter einem Benutzer eine zusätzliche Möglichkeit bieten, nicht auf den Phishing-Benutzer hereinzufallen Wer bereits davon überzeugt wurde, seinen Benutzernamen und sein Passwort herauszugeben, wird in der Regel auch das Einmalpasswort herausgeben.
Abschluss
In der Computersicherheit steht OTP für One Time Pad oder One Time Password. Ein One Time Pad ist eine Verschlüsselungstechnik, die perfekte Geheimhaltung bietet. Allerdings gibt es eine Reihe von Anforderungen, die den Einsatz in der Praxis erschweren und die korrekte Implementierung auf Computern im Allgemeinen sehr schwierig macht. One-Time-Pads können jedoch von Hand verwendet werden, was sie für altmodische Spionageaktivitäten nützlich macht. Einmalpasswörter sind geheime Zeichenfolgen, mit denen Sie sich anmelden können. Sie können neben oder anstelle eines herkömmlichen Passworts arbeiten. Ein Beispiel für die Implementierung von Einmalkennwörtern ist die Zwei-Faktor-Authentifizierung.