O acrônimo OTP é usado para se referir a duas coisas diferentes na segurança do computador. O significado antigo é “One Time Pad”, em contextos modernos é muito mais provável que se refira a “One Time Password/Passcode/PIN”. Como você provavelmente pode imaginar pelo uso compartilhado do termo “One Time”, existem algumas semelhanças.
One Time Pad – noções básicas
Um One Time Pad é um método de criptografia. Teoricamente, é perfeitamente seguro e impossível de quebrar. Não é amplamente utilizado porque tem uma variedade de limitações e requisitos que dificultam seriamente sua viabilidade na prática. O primeiro problema é que o pad requer que a chave de criptografia no pad seja realmente aleatória. Mesmo os geradores de números pseudoaleatórios PRNGs usados para outros fins criptográficos não são aleatórios o suficiente para serem seguros. Qualquer nível de previsibilidade no material chave compromete a premissa de sigilo perfeito.
O processo de geração de chaves deve ser totalmente seguro. Além disso, o método de comunicação do One Time Pad deve ser seguro. Todas as partes também devem continuar a armazenar com segurança os One Time Pads. Chaves descartáveis usadas também devem ser descartadas com segurança. Um One Time Pad não oferece nenhum mecanismo de autenticação. Um invasor que conhece o texto simples e o texto cifrado pode recuperar a chave. Eles podem então usar isso para gerar um texto cifrado diferente, desde que mantenham a mensagem do mesmo tamanho ou menor. Finalmente, a mensagem que está sendo criptografada só pode ser tão longa quanto a chave pré-gerada.
O uso do termo “pad” vem do fato de que, na maioria dos casos de uso, uma série de chaves descartáveis de tamanho decente é distribuída. Um formato útil é o de um bloco de notas com uma chave única em cada página. Quando uma mensagem precisa ser criptografada, a página superior é usada. a página geralmente é removida e destruída para evitar que seja comprometida ou reutilizada.
One Time Pad – complicações
Na prática, o fato de que o One Time Pad deve ser gerado, comunicado e armazenado com segurança, como qualquer segredo compartilhado, torna-o muito difícil de usar. Por exemplo, um One Time Pad é tão seguro quanto o método de comunicação. Se você confiar em HTTPS para comunicar com segurança o pad, um adversário com a capacidade de quebrar a criptografia TLS para obter o pad não teria mais problemas para decodificar as mensagens. Como tal, um pad comunicado digitalmente não oferece nenhuma segurança adicional. Ao usar um método de transmissão física, ou seja, um mensageiro ou entrega direta, o bloco é seguro ou não é. Isso torna os pads físicos muito mais úteis do que os pads digitais. Além disso, One Time Pads baseados em computador são muito mais difíceis de excluir com segurança e enfrentam problemas de remanência de dados.
Se um One Time Pad for comprometido, ele pode ser usado para descriptografar mensagens anteriores. Para evitar isso, normalmente uma página é destruída, muitas vezes queimada. Isso evita que a chave seja reutilizada ou descoberta. Supondo que um bloco esteja comprometido, mas a prática de destruição seja seguida, as mensagens anteriores não podem ser descriptografadas. Mensagens futuras, no entanto, poderiam ser descriptografadas.
Na prática, a criptografia moderna geralmente é mais do que segura o suficiente. Uma vantagem de um One Time Pad é que ele pode ser usado manualmente. A criptografia moderna é muito complexa e precisa de um computador para ser usada com eficiência. Isso torna os One Time Pads úteis em ambientes de espionagem quando as mensagens precisam ser enviadas sem usar a Internet ou computadores. Durante a Guerra Fria, os espiões costumavam usar One Time Pads impressos em papel flash. Por ser feita de nitrocelulose, uma página usada pode ser queimada muito rapidamente sem gerar fumaça.
Senha única
Uma senha de uso único é uma string secreta que pode ser usada para autenticação. Ele precisa permanecer secreto, no entanto, ao contrário de um One Time Pad, ele não pode ser usado para criptografar nada e não possui requisitos específicos de aleatoriedade. Um caso de uso comum para senhas de uso único é na autenticação de dois fatores. Por exemplo, um aplicativo de autenticação de dois fatores gera um código de uso único com base na hora e um segredo para confirmar sua identidade. A senha de uso único nem precisa ser necessariamente única. Os códigos de dois fatores geralmente têm seis dígitos. Isso fornece aleatoriedade suficiente para tornar extremamente improvável que um invasor possa adivinhar um válido no momento certo.
Algumas empresas, como bancos, também podem pré-gerar uma lista de senhas de uso único e enviá-las a seus clientes para uso com serviços bancários online. As senhas únicas, neste caso, não podem ser iguais para todos, mas não precisam necessariamente ser 100% únicas em todos os casos.
As senhas únicas podem ser um tanto desajeitadas do ponto de vista da experiência do usuário. As senhas precisam ser transmitidas e armazenadas com segurança ou geradas com segurança. O phishing também é um risco, enquanto as senhas únicas adicionam uma camada extra de oportunidade para um usuário não cair no phish, um usuário que já foi convencido a entregar seu nome de usuário e senha normalmente também entregará a senha de uso único.
Conclusão
Na segurança do computador, OTP significa One Time Pad ou One Time Password. Um One Time Pad é uma técnica de criptografia que oferece sigilo perfeito. Ele tem, no entanto, uma série de requisitos que o tornam difícil de usar na prática e geralmente muito complicado de implementar corretamente em computadores. No entanto, os One Time Pads podem ser usados manualmente, tornando-os úteis para espionagem antiquada. Senhas únicas são strings secretas que podem ser usadas para fazer login. eles podem funcionar junto ou em vez de uma senha tradicional. A autenticação de dois fatores é um exemplo de implementação de senhas únicas.