OTP の頭字語は、コンピュータ セキュリティにおける 2 つの異なるものを指すのに使用されます。 古い意味は「ワンタイムパッド」ですが、現代の文脈では「ワンタイムパスワード/パスコード/PIN」を指す可能性が高くなります。 「One Time」という用語が共通して使用されていることから推測できると思いますが、いくつかの類似点があります。
ワンタイムパッド – 基本
ワンタイムパッドは暗号化方式の1つです。 理論的には、これは完全に安全であり、クラックすることは不可能です。 ただし、実際の実行可能性を大きく妨げるさまざまな制限や要件があるため、広く使用されていません。 最初の問題は、パッド上の暗号化キーが真にランダムである必要があることです。 他の暗号化目的で使用される擬似乱数生成器 PRNG でさえ、安全であるほどランダムではありません。 キーマテリアルの予測可能性がどのレベルであっても、完全な機密性の前提が損なわれます。
キー生成プロセスは完全に安全である必要があります。 また、ワンタイムパッドの通信方法は安全でなければなりません。 すべての関係者は、引き続きワンタイム パッドを安全に保管する必要があります。 使用済みのワンタイム キーも安全に処分する必要があります。 ワンタイムパッドには認証メカニズムがありません。 平文と暗号文を知っている攻撃者は、キーを回復できます。 その後、メッセージのサイズを同じかそれ以下に保つ限り、それを使用して別の暗号文を生成できます。 最後に、暗号化されるメッセージの長さは、事前に生成されたキーと同じ長さだけです。
「パッド」という用語の使用は、ほとんどの使用例では、適切なサイズの一連のワンタイム キーが配布されるという事実に由来しています。 便利な形式は、各ページに一意のキーを持つメモ帳の形式です。 メッセージを暗号化する必要がある場合は、最上位のページが使用されます。 通常、ページは侵害や再利用を防ぐために削除および破棄されます。
ワンタイムパッド – 合併症
実際には、他の共有秘密と同様に、ワン タイム パッドも安全に生成、通信、保存する必要があるため、使用が非常に困難になります。 たとえば、ワンタイムパッドの安全性は通信方法と同じくらいです。 パッドとの安全な通信に HTTPS を使用している場合、TLS 暗号化を破ってパッドを取得できる攻撃者は、メッセージのデコードにこれ以上の問題を抱えることはありません。 そのため、デジタル通信パッドには追加のセキュリティは提供されません。 物理的な送信方法、つまり宅配便やデッド ドロップを使用する場合、パッドは安全かどうかのどちらかです。 これにより、物理パッドがデジタル パッドよりもはるかに便利になります。 さらに、コンピュータベースのワンタイムパッドは安全に削除することがはるかに難しく、データの残留問題に直面しています。
ワンタイムパッドが侵害された場合、過去のメッセージを復号化するために使用される可能性があります。 これを回避するために、通常はページが破棄され、多くの場合は焼き付けられます。 これにより、キーの再利用や発見が防止されます。 パッドが侵害されたとしても、破壊慣行が実行された場合、過去のメッセージを復号化することはできません。 ただし、将来のメッセージは復号化できるようになります。
実際には、最新の暗号化は通常、十分以上に安全です。 ただし、ワンタイムパッドの利点の 1 つは、手動で使用できることです。 最新の暗号化は非常に複雑なので、効率的に使用するにはコンピューターが必要です。 このため、ワン タイム パッドは、インターネットやコンピュータを使用せずにメッセージを送信する必要があるスパイクラフト環境で役立ちます。 冷戦中、スパイはフラッシュペーパーに印刷されたワンタイムパッドをよく使用していました。 ニトロセルロースで作られているため、使用済みのページは煙を発生させることなくすぐに燃やすことができます。
ワンタイムパスワード
ワンタイム パスワードは、認証に使用できる秘密の文字列です。 ただし、ワンタイムパッドとは異なり、何かを暗号化するために使用することはできず、特定のランダム性要件もありません。 ワンタイム パスワードの一般的な使用例は、2 要素認証です。 たとえば、2 要素認証アプリは、本人確認のための時間と秘密に基づいて 1 回限りのコードを生成します。 ワンタイム パスワードは、必ずしも一意である必要はありません。 2 要素コードは多くの場合 6 桁です。 これにより、攻撃者が適切なタイミングで有効な値を推測できる可能性が非常に低くなるのに十分なランダム性が提供されます。
銀行などの一部の企業は、オンライン バンキングで使用できるように、使い捨てパスワードのリストを事前に作成し、顧客に郵送する場合もあります。 この場合のワンタイム パスワードは、全員が同じであることはできませんが、必ずしもすべての場合で 100% 固有である必要はありません。
ワンタイム パスワードは、ユーザー エクスペリエンスの観点からすると、やや扱いにくい場合があります。 パスワードは安全に送信および保存されるか、安全に生成できる必要があります。 フィッシングもリスクですが、ワンタイム パスワードはユーザーがフィッシングに引っかからないようにするための追加の機会を追加します。 ユーザー名とパスワードを引き渡すことをすでに確信しているユーザーは、通常、ワンタイム パスワードも引き渡すことになります。
結論
コンピュータ セキュリティにおいて、OTP はワン タイム パッドまたはワン タイム パスワードの略です。 ワンタイムパッドは、完全な機密性を提供する暗号化技術です。 ただし、実際に使用するには多くの要件があり、コンピュータに正しく実装するのは一般に非常に困難です。 ただし、ワンタイムパッドは手動で使用できるため、昔ながらのスパイ工作に役立ちます。 ワンタイム パスワードは、ログインに使用できる秘密の文字列です。 従来のパスワードと一緒に、または従来のパスワードの代わりに使用できます。 2 要素認証は、ワンタイム パスワードの実装の一例です。