약어 OTP는 컴퓨터 보안에서 서로 다른 두 가지를 나타내는 데 사용됩니다. 이전 의미는 "일회용 패드"이며 현대적인 맥락에서는 "일회용 암호/비밀번호/PIN"을 참조할 가능성이 훨씬 더 높습니다. "일회성"이라는 용어의 공통된 사용에서 짐작할 수 있듯이 몇 가지 유사점이 있습니다.
원타임 패드 - 기초
One Time Pad는 암호화 방법입니다. 이론적으로 완벽하게 안전하고 크랙이 불가능합니다. 실제로 실행 가능성을 심각하게 방해하는 다양한 제한 사항과 요구 사항이 있기 때문에 널리 사용되지는 않습니다. 첫 번째 문제는 패드가 패드의 암호화 키가 진정으로 임의적이어야 한다는 것입니다. 다른 암호화 목적으로 사용되는 의사 난수 생성기 PRNG도 안전할 만큼 충분히 임의적이지 않습니다. 키 자료의 모든 수준의 예측 가능성은 완벽한 비밀 전제를 손상시킵니다.
키 생성 프로세스는 완전히 보안되어야 합니다. 또한 One Time Pad와 통신하는 방법은 안전해야 합니다. 그런 다음 모든 당사자는 일회용 패드를 계속해서 안전하게 보관해야 합니다. 사용한 일회용 키도 안전하게 폐기해야 합니다. One Time Pad는 인증 메커니즘을 제공하지 않습니다. 평문과 암호문을 알고 있는 공격자는 키를 복구할 수 있습니다. 그런 다음 메시지를 동일하거나 더 짧게 유지하는 한 이를 사용하여 다른 암호문을 생성할 수 있습니다. 마지막으로 암호화되는 메시지는 미리 생성된 키만큼만 가능합니다.
"패드"라는 용어의 사용은 대부분의 사용 사례에서 적절한 크기의 일회성 키 시리즈가 배포된다는 사실에서 비롯됩니다. 유용한 형식은 각 페이지에 고유한 키가 있는 메모장 형식입니다. 메시지를 암호화해야 하는 경우 최상위 페이지가 사용됩니다. 그런 다음 일반적으로 페이지가 손상되거나 재사용되는 것을 방지하기 위해 페이지를 제거하고 파기합니다.
원타임 패드 – 컴플리케이션
실제로 One Time Pad는 모든 공유 비밀처럼 안전하게 생성, 전달 및 저장되어야 한다는 사실 때문에 사용하기가 매우 어렵습니다. 예를 들어 One Time Pad는 통신 방법만큼만 안전합니다. 패드와 안전하게 통신하기 위해 HTTPS에 의존하는 경우 패드를 얻기 위해 해당 TLS 암호화를 해제할 수 있는 능력이 있는 적이 메시지를 디코딩하는 데 더 이상 문제가 없을 것입니다. 따라서 디지털 통신 패드는 추가 보안을 제공하지 않습니다. 택배나 데드 드롭과 같은 물리적 전송 방법을 사용할 때 패드는 안전하거나 안전하지 않습니다. 따라서 물리적 패드가 디지털 패드보다 훨씬 더 유용합니다. 또한 컴퓨터 기반 One Time Pad는 안전하게 삭제하기가 훨씬 더 어렵고 데이터 잔류 문제에 직면합니다.
One Time Pad가 손상된 경우 과거 메시지를 해독하는 데 사용할 수 있습니다. 이를 방지하기 위해 일반적으로 페이지가 파괴되고 종종 소각됩니다. 이것은 키가 재사용되거나 발견되는 것을 방지합니다. 패드가 손상되었지만 파괴 관행을 따른다고 가정하면 과거 메시지를 해독할 수 없습니다. 그러나 향후 메시지는 해독될 수 있습니다.
실제로 최신 암호화는 일반적으로 충분히 안전합니다. One Time Pad의 장점 중 하나는 손으로 사용할 수 있다는 것입니다. 최신 암호화는 매우 복잡하며 효율적으로 사용하려면 컴퓨터가 필요합니다. 따라서 인터넷이나 컴퓨터를 사용하지 않고 메시지를 보내야 하는 스파이 크래프트 환경에서 일회용 패드가 유용합니다. 냉전 기간 동안 스파이들은 종종 플래시 종이에 인쇄된 일회용 패드를 사용했습니다. 니트로셀룰로오스로 만들어졌기 때문에 사용한 페이지는 연기를 발생시키지 않고 매우 빠르게 태울 수 있습니다.
일회성 암호
일회용 암호는 인증에 사용할 수 있는 비밀 문자열입니다. 비밀로 유지해야 하지만 One Time Pad와 달리 아무 것도 암호화하는 데 사용할 수 없으며 특정 임의성 요구 사항이 없습니다. 일회용 암호의 일반적인 사용 사례는 이중 인증입니다. 예를 들어 2단계 인증 앱은 시간과 암호를 기반으로 1회용 코드를 생성하여 신원을 확인합니다. 일회용 암호는 고유할 필요도 없습니다. 2단계 코드는 종종 6자리입니다. 이것은 공격자가 적시에 유효한 것을 추측할 가능성이 거의 없도록 충분한 임의성을 제공합니다.
은행과 같은 일부 회사는 온라인 뱅킹에 사용할 수 있도록 일회용 암호 목록을 미리 생성하여 고객에게 메일로 보낼 수도 있습니다. 이 경우 일회용 암호는 모든 사람에게 동일할 수 없지만 모든 경우에 100% 고유할 필요는 없습니다.
일회용 암호는 사용자 경험 관점에서 보면 다소 투박할 수 있습니다. 암호는 안전하게 전송 및 저장되거나 안전하게 생성될 수 있어야 합니다. 피싱도 위험하지만 일회용 암호는 사용자가 피싱에 속지 않도록 추가 기회를 제공합니다. 이미 사용자 이름과 암호를 넘겨주겠다고 확신한 사용자는 일반적으로 일회용 암호도 함께 넘겨줍니다.
결론
컴퓨터 보안에서 OTP는 One Time Pad 또는 One Time Password를 나타냅니다. One Time Pad는 완벽한 보안을 제공하는 암호화 기술입니다. 그러나 실제로 사용하기 어려운 여러 요구 사항이 있으며 일반적으로 컴퓨터에서 올바르게 구현하기가 매우 까다롭습니다. 원 타임 패드는 손으로 사용할 수 있으므로 구식 스파이 크래프트에 유용합니다. 일회용 암호는 로그인에 사용할 수 있는 비밀 문자열입니다. 기존 암호와 함께 또는 대신 사용할 수 있습니다. 2단계 인증은 일회용 암호 구현의 한 예입니다.