L'acronimo OTP è usato per riferirsi a due cose diverse nella sicurezza informatica. Il significato più vecchio è "One Time Pad", in contesti moderni è molto più probabile che si riferisca a "One Time Password/Passcode/PIN". Come probabilmente puoi intuire dall'uso condiviso del termine "One Time", ci sono alcune somiglianze.
One Time Pad – nozioni di base
Un One Time Pad è un metodo di crittografia. Teoricamente, è perfettamente sicuro e impossibile da decifrare. Tuttavia, non è ampiamente utilizzato perché presenta una varietà di limitazioni e requisiti che ne ostacolano seriamente la fattibilità nella pratica. Il primo problema è che il pad richiede che la chiave di crittografia sul pad sia veramente casuale. Anche i generatori di numeri pseudo-casuali PRNG utilizzati per altri scopi crittografici non sono abbastanza casuali da essere sicuri. Qualsiasi livello di prevedibilità nel materiale chiave compromette la perfetta premessa di segretezza.
Il processo di generazione delle chiavi deve essere completamente sicuro. Inoltre, il metodo di comunicazione del One Time Pad deve essere sicuro. Tutte le parti devono quindi continuare a conservare in modo sicuro gli One Time Pad. Anche le chiavi usate una tantum devono essere smaltite in modo sicuro. Un One Time Pad non offre alcun meccanismo di autenticazione. Un utente malintenzionato che conosce il testo in chiaro e il testo cifrato, può recuperare la chiave. Possono quindi usarlo per generare un testo cifrato diverso, purché mantengano il messaggio della stessa dimensione o più corto. Infine, il messaggio da crittografare può essere lungo solo quanto la chiave pre-generata.
L'uso del termine "pad" deriva dal fatto che nella maggior parte dei casi d'uso viene distribuita una serie di chiavi monouso di dimensioni adeguate. Un formato utile è quello di un blocco note con una chiave univoca su ogni pagina. Quando un messaggio deve essere crittografato, viene utilizzata la pagina più in alto. la pagina viene quindi generalmente rimossa e distrutta per evitare che venga compromessa o riutilizzata.
One Time Pad – complicazioni
In pratica, il fatto che il One Time Pad debba essere generato, comunicato e archiviato in modo sicuro, come qualsiasi segreto condiviso, ne rende molto difficile l'utilizzo. Ad esempio, un One Time Pad è sicuro quanto il metodo di comunicazione. Se fai affidamento su HTTPS per comunicare in modo sicuro il pad, un avversario con la capacità di violare la crittografia TLS per ottenere il pad non avrebbe quindi ulteriori problemi a decodificare i messaggi. Pertanto, un pad comunicato digitalmente non offre alcuna sicurezza aggiuntiva. Quando si utilizza un metodo di trasmissione fisica, ad esempio un corriere o un dead drop, il pad è sicuro o non lo è. Questo rende i pad fisici molto più utili dei pad digitali. Inoltre, i One Time Pad basati su computer sono molto più difficili da eliminare in modo sicuro e devono affrontare problemi di permanenza dei dati.
Se un One Time Pad viene compromesso, può essere utilizzato per decrittografare i messaggi passati. Per evitare ciò, in genere una pagina viene distrutta, spesso bruciata. Ciò impedisce che la chiave venga riutilizzata o scoperta. Supponendo che un pad sia compromesso ma venga seguita la pratica di distruzione, i messaggi passati non possono essere decrittografati. I messaggi futuri, tuttavia, potrebbero essere decifrati.
In pratica, la crittografia moderna è in genere più che sufficientemente sicura. Un vantaggio di un One Time Pad è però che può essere utilizzato a mano. La crittografia moderna è molto complessa e necessita di un computer per essere utilizzata in modo efficiente. Ciò rende i One Time Pad utili negli ambienti spycraft quando i messaggi devono essere inviati senza utilizzare Internet o computer. Durante la guerra fredda, le spie usavano spesso blocchetti monouso stampati su carta flash. Essendo fatto di nitrocellulosa, una pagina usata potrebbe essere bruciata molto rapidamente senza generare fumo.
Password monouso
Una One Time Password è una stringa segreta che può essere utilizzata per l'autenticazione. Deve rimanere segreto, tuttavia, a differenza di un One Time Pad, non può essere utilizzato per crittografare nulla e non ha requisiti specifici di casualità. Un caso d'uso comune per le password monouso è l'autenticazione a due fattori. Ad esempio, un'app di autenticazione a due fattori genera un codice monouso basato sull'ora e un segreto per confermare la tua identità. La One Time Password, non deve nemmeno essere necessariamente univoca. I codici a due fattori sono spesso di sei cifre. Ciò fornisce abbastanza casualità da rendere estremamente improbabile che un utente malintenzionato possa indovinarne uno valido al momento giusto.
Alcune aziende, come le banche, possono anche pre-generare un elenco di password monouso e inviarle ai propri clienti per l'utilizzo con l'online banking. Le One Time Password in questo caso non possono essere uguali per tutti, ma non devono necessariamente essere uniche al 100% in tutti i casi.
Le password monouso possono essere piuttosto goffe dal punto di vista dell'esperienza utente. Le password devono essere trasmesse e archiviate in modo sicuro o generabili in modo sicuro. Anche il phishing è un rischio, mentre le One Time Password aggiungono un ulteriore livello di opportunità per un utente per non cadere nel phishing, un utente che è già stato convinto a consegnare il nome utente e la password, in genere consegnerà anche la One Time Password.
Conclusione
Nella sicurezza informatica, OTP sta per One Time Pad o One Time Password. Un One Time Pad è una tecnica di crittografia che offre un segreto perfetto. Ha, tuttavia, una serie di requisiti che lo rendono scomodo da usare nella pratica ed è generalmente molto complicato da implementare correttamente sui computer. Tuttavia, i One Time Pad possono essere usati a mano, rendendoli utili per lo spionaggio vecchio stile. Le One Time Password sono stringhe segrete che possono essere utilizzate per accedere. possono funzionare insieme o al posto di una password tradizionale. L'autenticazione a due fattori è un esempio di implementazione delle One Time Password.