El acrónimo OTP se usa para referirse a dos cosas diferentes en la seguridad informática. El significado anterior es "Bloc de un solo uso", en contextos modernos es mucho más probable que se refiera a "Contraseña de un solo uso/Código de acceso/PIN". Como probablemente pueda adivinar por el uso compartido del término "Única vez", existen algunas similitudes.
One Time Pad: conceptos básicos
Un One Time Pad es un método de encriptación. Teóricamente, es perfectamente seguro e imposible de descifrar. Sin embargo, no se usa mucho porque tiene una variedad de limitaciones y requisitos que dificultan seriamente su viabilidad en la práctica. El primer problema es que el pad requiere que la clave de cifrado en el pad sea verdaderamente aleatoria. Incluso los generadores de números pseudoaleatorios PRNG utilizados para otros fines criptográficos no son lo suficientemente aleatorios como para ser seguros. Cualquier nivel de previsibilidad en el material clave compromete la premisa del secreto perfecto.
El proceso de generación de claves debe ser completamente seguro. Además, el método de comunicación del One Time Pad debe ser seguro. Todas las partes también deben continuar almacenando de forma segura los One Time Pads. Las llaves de un solo uso usadas también deben desecharse de forma segura. A One Time Pad no ofrece ningún mecanismo de autenticación. Un atacante que conoce el texto sin formato y el texto cifrado puede recuperar la clave. Luego pueden usar eso para generar un texto cifrado diferente, siempre que mantengan el mensaje del mismo tamaño o más corto. Finalmente, el mensaje que se cifra solo puede tener la longitud de la clave generada previamente.
El uso del término "pad" proviene del hecho de que, en la mayoría de los casos de uso, se distribuye una serie de teclas de un solo uso de tamaño decente. Un formato útil es el de un bloc de notas con una clave única en cada página. Cuando es necesario cifrar un mensaje, se utiliza la página superior. Luego, la página generalmente se elimina y destruye para evitar que se comprometa o se reutilice.
One Time Pad – complicaciones
En la práctica, el hecho de que One Time Pad deba generarse, comunicarse y almacenarse de manera segura, como cualquier secreto compartido, hace que su uso sea muy difícil. Por ejemplo, un One Time Pad es tan seguro como el método de comunicación. Si confía en HTTPS para comunicar de forma segura el pad, un adversario con la capacidad de romper ese cifrado TLS para obtener el pad no tendría más problemas para decodificar los mensajes. Como tal, una libreta comunicada digitalmente no ofrece ninguna seguridad adicional. Cuando se utiliza un método de transmisión física, es decir, un servicio de mensajería o un punto muerto, la almohadilla es segura o no lo es. Esto hace que los pads físicos sean mucho más útiles que los digitales. Además, los One Time Pads basados en computadora son mucho más difíciles de eliminar de forma segura y enfrentan problemas de remanencia de datos.
Si un One Time Pad se ve comprometido, se puede usar para descifrar mensajes anteriores. Para evitar esto, normalmente se destruye una página, a menudo quemada. Esto evita que la clave se reutilice o se descubra. Suponiendo que un bloc está comprometido pero se sigue la práctica de destrucción, los mensajes anteriores no se pueden descifrar. Sin embargo, los mensajes futuros podrían descifrarse.
En la práctica, la criptografía moderna suele ser lo suficientemente segura. Sin embargo, una ventaja que tiene One Time Pad es que se puede usar a mano. La criptografía moderna es muy compleja y necesita una computadora para usarse de manera eficiente. Esto hace que One Time Pads sea útil en entornos de espionaje cuando los mensajes deben enviarse sin usar Internet o computadoras. Durante la Guerra Fría, los espías solían usar One Time Pads impresos en papel flash. Al estar hecho de nitrocelulosa, una página usada podría quemarse muy rápidamente sin generar humo.
Contraseña de un solo uso
Una contraseña de un solo uso es una cadena secreta que se puede usar para la autenticación. Debe permanecer en secreto, sin embargo, a diferencia de One Time Pad, no se puede usar para encriptar nada y no tiene requisitos específicos de aleatoriedad. Un caso de uso común para las contraseñas de un solo uso es la autenticación de dos factores. Por ejemplo, una aplicación de autenticación de dos factores genera un código de un solo uso basado en el tiempo y un secreto para confirmar su identidad. La contraseña de un solo uso ni siquiera tiene que ser necesariamente única. Los códigos de dos factores suelen tener seis dígitos. Esto proporciona suficiente aleatoriedad para que sea extremadamente improbable que un atacante pueda adivinar uno válido en el momento adecuado.
Algunas empresas, como los bancos, también pueden generar previamente una lista de contraseñas de un solo uso y enviarlas por correo a sus clientes para que las utilicen con la banca en línea. Las contraseñas de un solo uso en este caso no pueden ser las mismas para todos, pero no necesariamente tienen que ser 100 % únicas en todos los casos.
Las contraseñas de un solo uso pueden ser algo torpes desde la perspectiva de la experiencia del usuario. Las contraseñas deben transmitirse y almacenarse de forma segura, o generarse de forma segura. El phishing también es un riesgo, mientras que las contraseñas de un solo uso agregan una capa adicional de oportunidad para que un usuario no caiga en el phishing, un usuario que ya ha sido convencido de entregar su nombre de usuario y contraseña, por lo general también entregará la contraseña de un solo uso.
Conclusión
En seguridad informática, OTP significa One Time Pad o One Time Password. Un One Time Pad es una técnica de cifrado que ofrece un secreto perfecto. Sin embargo, tiene una serie de requisitos que lo hacen difícil de usar en la práctica y, en general, es muy complicado de implementar correctamente en las computadoras. Sin embargo, los One Time Pads se pueden usar a mano, lo que los hace útiles para el espionaje a la antigua. Las contraseñas de un solo uso son cadenas secretas que se pueden usar para iniciar sesión. pueden trabajar junto o en lugar de una contraseña tradicional. La autenticación de dos factores es un ejemplo de una implementación de contraseñas de un solo uso.