ראשי התיבות OTP משמשים להתייחסות לשני דברים שונים באבטחת מחשבים. המשמעות הישנה יותר היא "One Time Pad", בהקשרים מודרניים סביר הרבה יותר להתייחס ל"One Time Password/Passcode/PIN". כפי שאתה בוודאי יכול לנחש מהשימוש המשותף במונח "פעם אחת", יש כמה קווי דמיון.
One Time Pad - יסודות
One Time Pad היא שיטת הצפנה. תיאורטית, זה בטוח לחלוטין ובלתי אפשרי לפיצוח. עם זאת, הוא אינו בשימוש נרחב מכיוון שיש לו מגוון מגבלות ודרישות הפוגעות ברצינות בכדאיותו בפועל. הבעיה הראשונה היא שהמשטח דורש שמפתח ההצפנה על המשטח יהיה אקראי באמת. אפילו PRNG מחוללי מספרים פסאודו-אקראיים המשמשים למטרות קריפטוגרפיות אחרות אינם אקראיים מספיק כדי להיות מאובטחים. כל רמה של חיזוי בחומר המפתח מתפשרת על הנחת הסודיות המושלמת.
תהליך יצירת המפתח חייב להיות מאובטח לחלוטין. בנוסף, שיטת התקשורת של One Time Pad חייבת להיות מאובטחת. לאחר מכן על כל הצדדים להמשיך לאחסן בצורה מאובטחת את ה-One Time Pads. גם מפתחות חד-פעמיים משומשים חייבים להיפטר בצורה מאובטחת. One Time Pad אינו מציע שום מנגנון אימות. תוקף שיודע את הטקסט הפשוט והצופן, יכול לשחזר את המפתח. לאחר מכן הם יכולים להשתמש בזה כדי ליצור טקסט צופן אחר, כל עוד הם שומרים את ההודעה באותו גודל או קצר יותר. לבסוף, ההודעה המוצפנת יכולה להיות ארוכה רק כמו המפתח שנוצר מראש.
השימוש במונח "פד" נובע מהעובדה שברוב מקרי השימוש, מופצת סדרה בגודל הגון של מפתחות חד-פעמיים. פורמט שימושי הוא של פנקס רשימות עם מפתח ייחודי בכל עמוד. כאשר יש צורך להצפין הודעה, נעשה שימוש בדף העליון ביותר. לאחר מכן, בדרך כלל, הדף מוסר ונהרס כדי למנוע ממנו להתפשר או לעשות בו שימוש חוזר.
One Time Pad - סיבוכים
בפועל, העובדה שה-One Time Pad חייב להיות מאובטח להפקה, לתקשר ולאחסן, כמו כל סוד משותף, מקשה מאוד על השימוש. לדוגמה, One Time Pad מאובטח רק כמו שיטת התקשורת. אם אתה מסתמך על HTTPS כדי לתקשר בצורה מאובטחת עם הפנקס, ליריב עם היכולת לשבור את הצפנת ה-TLS הזו כדי לקבל את הפנקס לא תהיה בעיה נוספת בפענוח הודעות. ככזה, פד המועבר דיגיטלית אינו מציע אבטחה נוספת. כשמשתמשים בשיטת שידור פיזית, כלומר שליח, או שחרור מתים, הרפידה מאובטחת או שאינה מאובטחת. זה הופך את הפדים הפיזיים להרבה יותר שימושיים מרפידות דיגיטליות. בנוסף, רכיבי One Time Pads מבוססי מחשב הם הרבה יותר קשים למחיקה מאובטחת ומתמודדים עם בעיות של שיחזור נתונים.
אם One Time Pad נפגע, ניתן להשתמש בו כדי לפענח הודעות קודמות. כדי להימנע מכך, בדרך כלל דף נהרס, לעתים קרובות נשרף. זה מונע שימוש חוזר במפתח או גילוי. בהנחה שהפנקס נפגע אך נוהגים להרוס, לא ניתן לפענח הודעות קודמות. עם זאת, ניתן יהיה לפענח הודעות עתידיות.
בפועל, קריפטוגרפיה מודרנית היא בדרך כלל יותר ממאובטחת מספיק. יתרון אחד שיש ל-One Time Pad הוא שניתן להשתמש בו ביד. קריפטוגרפיה מודרנית היא מורכבת מאוד וצריכה מחשב לשמש ביעילות. זה הופך את One Time Pads לשימושי בסביבות ריגול כאשר יש לשלוח הודעות ללא שימוש באינטרנט או במחשבים. במהלך המלחמה הקרה, מרגלים השתמשו לעתים קרובות ב-One Time Pads שהודפסו על נייר פלאש. בהיותו עשוי ניטרוצלולוזה, דף משומש יכול להישרף במהירות רבה מבלי ליצור עשן כלשהו.
סיסמה חד - פעמית
סיסמה חד פעמית, היא מחרוזת סודית שניתן להשתמש בה לאימות. זה צריך להישאר סודי, עם זאת, בניגוד ל-One Time Pad, לא ניתן להשתמש בו כדי להצפין שום דבר ואין לו דרישות אקראיות ספציפיות. מקרה שימוש נפוץ עבור סיסמאות חד פעמיות הוא באימות דו-גורמי. לדוגמה, אפליקציית אימות דו-גורמי מייצרת קוד חד-פעמי המבוסס על הזמן והסוד לאישור הזהות שלך. הסיסמה החד פעמית, אפילו לא בהכרח חייבת להיות ייחודית. קודים דו-גורמיים הם לרוב שש ספרות. זה מספק מספיק אקראיות כדי להפוך את זה מאוד לא סביר שתוקף יוכל לנחש תקף בזמן הנכון.
חברות מסוימות, כגון בנקים, עשויות גם ליצור מראש רשימה של סיסמאות חד פעמיות ולשלוח אותן בדואר ללקוחות שלהן לשימוש בבנקאות מקוונת. הסיסמאות החד פעמיות במקרה זה אינן יכולות להיות זהות עבור כולם, אך אינן בהכרח צריכות להיות ייחודיות ב-100% בכל המקרים.
סיסמאות חד פעמיות יכולות להיות מעט מסורבלות מנקודת מבט של חווית משתמש. הסיסמאות צריכות להיות מועברות ומאוחסנות בצורה מאובטחת, או ניתנות להפקה מאובטחת. דיוג הוא גם סיכון, בעוד שסיסמאות חד פעמיות מוסיפות שכבה נוספת של הזדמנות למשתמש לא ליפול על הפיש, המשתמש שכבר השתכנעו למסור את שם המשתמש והסיסמה שלהם, בדרך כלל יעבירו גם את הסיסמה החד פעמית.
סיכום
באבטחת מחשבים, OTP קיצור של One Time Pad או One Time Password. A One Time Pad היא טכניקת הצפנה שמציעה סודיות מושלמת. עם זאת, יש לו מספר דרישות שהופכות אותו למסורבל לשימוש בפועל ובדרך כלל קשה מאוד ליישם אותו בצורה נכונה במחשבים. עם זאת, ניתן להשתמש ב-One Time Pads ביד, מה שהופך אותם לשימושיים עבור ריגול מיושן. סיסמאות חד פעמיות הן מחרוזות סודיות שניתן להשתמש בהן כדי להתחבר. הם יכולים לעבוד לצד או במקום סיסמה מסורתית. אימות דו-גורמי הוא דוגמה אחת ליישום של סיסמאות חד פעמיות.