OTP kısaltması, bilgisayar güvenliğinde iki farklı şeyi ifade etmek için kullanılır. Daha eski anlamı "Tek Kullanımlık Pad"dir, modern bağlamlarda "Tek Kullanımlık Şifre/Parola/PIN" anlamına gelmesi çok daha olasıdır. “Bir Kez” teriminin ortak kullanımından da tahmin edebileceğiniz gibi, bazı benzerlikler var.
Bir Kez Ped – temel bilgiler
One Time Pad, bir şifreleme yöntemidir. Teorik olarak, tamamen güvenlidir ve kırılması imkansızdır. Bununla birlikte, pratikte uygulanabilirliğini ciddi şekilde engelleyen çeşitli sınırlamaları ve gereksinimleri olduğu için yaygın olarak kullanılmamaktadır. İlk sorun, altlığın, altlıktaki şifreleme anahtarının gerçekten rastgele olmasını gerektirmesidir. Diğer kriptografik amaçlar için kullanılan sözde rasgele sayı üreteçleri PRNG'ler bile güvenli olacak kadar rasgele değildir. Anahtar malzemedeki herhangi bir öngörülebilirlik düzeyi, mükemmel gizlilik öncülünü tehlikeye atar.
Anahtar oluşturma işlemi tamamen güvenli olmalıdır. Ek olarak, Bir Seferlik Ped ile iletişim kurma yöntemi güvenli olmalıdır. Ardından tüm taraflar, Tek Seferlik Pedleri güvenli bir şekilde saklamaya devam etmelidir. Kullanılmış tek seferlik anahtarlar da güvenli bir şekilde imha edilmelidir. Tek Seferlik Pad, herhangi bir kimlik doğrulama mekanizması sunmaz. Düz metni ve şifreli metni bilen bir saldırgan anahtarı kurtarabilir. Daha sonra mesajı aynı boyutta veya daha kısa tuttukları sürece bunu farklı bir şifreli metin oluşturmak için kullanabilirler. Son olarak, şifrelenen mesaj yalnızca önceden oluşturulmuş anahtar kadar uzun olabilir.
"Ped" teriminin kullanılması, çoğu kullanım durumunda, yeterli boyutta tek seferlik anahtarların dağıtılması gerçeğinden gelir. Yararlı bir biçim, her sayfada benzersiz bir anahtar bulunan bir not defteri biçimidir. Bir mesajın şifrelenmesi gerektiğinde en üstteki sayfa kullanılır. sayfa daha sonra güvenliğinin ihlal edilmesini veya yeniden kullanılmasını önlemek için genellikle kaldırılır ve yok edilir.
Bir Seferlik Ped – komplikasyonlar
Uygulamada, One Time Pad'in güvenli bir şekilde oluşturulması, iletilmesi ve herhangi bir paylaşılan sır gibi saklanması gerektiği gerçeği, kullanımını çok zorlaştırır. Örneğin, Bir Seferlik Ped yalnızca iletişim yöntemi kadar güvenlidir. Altlığı güvenli bir şekilde iletmek için HTTPS'ye güvenirseniz, altlığı almak için bu TLS şifrelemesini kırabilen bir düşman, mesajların kodunu çözerken başka sorun yaşamaz. Bu nedenle, dijital olarak iletilen bir ped herhangi bir ek güvenlik sunmaz. Fiziksel bir iletim yöntemi, yani bir kurye veya ölü bırakma kullanıldığında, altlık ya güvenlidir ya da değildir. Bu, fiziksel pedleri dijital pedlerden çok daha kullanışlı hale getirir. Ek olarak, bilgisayar tabanlı Tek Seferlik Pedlerin güvenli bir şekilde silinmesi ve verilerin kalıcılığı sorunlarıyla karşılaşması çok daha zordur.
Bir Tek Seferlik Pad'in güvenliği ihlal edilirse, geçmiş mesajların şifresini çözmek için kullanılabilir. Bunu önlemek için, tipik olarak bir sayfa yok edilir, sıklıkla yakılır. Bu, anahtarın yeniden kullanılmasını veya keşfedilmesini engeller. Bir pedin güvenliğinin ihlal edildiğini ancak imha uygulamasının izlendiğini varsayarsak, geçmiş mesajların şifresi çözülemez. Bununla birlikte, gelecekteki mesajların şifresi çözülebilecektir.
Uygulamada, modern kriptografi genellikle yeterince güvenlidir. Bir Seferlik Pedin sahip olduğu bir avantaj, elle kullanılabilmesidir. Modern kriptografi çok karmaşıktır ve verimli bir şekilde kullanılması için bir bilgisayara ihtiyaç duyar. Bu, mesajların İnternet veya bilgisayar kullanılmadan gönderilmesi gerektiğinde spycraft ortamlarında One Time Pad'leri kullanışlı hale getirir. Soğuk savaş sırasında, casuslar genellikle flaş kağıda basılmış Bir Seferlik Bloknotlar kullanırdı. Nitroselülozdan yapılmış olan kullanılmış bir sayfa, herhangi bir duman çıkarmadan çok hızlı bir şekilde yanabilir.
Tek seferlik şifre
Tek Kullanımlık Şifre, kimlik doğrulama için kullanılabilecek gizli bir dizidir. Gizli kalması gerekir, ancak Tek Seferlik Pad'in aksine, hiçbir şeyi şifrelemek için kullanılamaz ve belirli rastgelelik gereksinimleri yoktur. Tek Kullanımlık Parolalar için yaygın bir kullanım durumu, iki faktörlü kimlik doğrulamadır. Örneğin, iki faktörlü bir kimlik doğrulama uygulaması, zamana dayalı olarak tek kullanımlık bir kod ve kimliğinizi doğrulamak için bir sır oluşturur. Tek Kullanımlık Şifre, benzersiz olmak zorunda bile değildir. İki faktörlü kodlar genellikle altı basamaklıdır. Bu, bir saldırganın doğru zamanda geçerli bir tane tahmin etmesini son derece düşük bir ihtimal haline getirmek için yeterli rastgelelik sağlar.
Bankalar gibi bazı şirketler, tek kullanımlık parolaların bir listesini önceden oluşturabilir ve bunları çevrimiçi bankacılıkta kullanmak üzere müşterilerine postalayabilir. Bu durumda Tek Kullanımlık Parolalar herkes için aynı olmayabilir, ancak her durumda %100 benzersiz olması gerekmez.
Tek Kullanımlık Parolalar, kullanıcı deneyimi açısından biraz hantal olabilir. Parolaların güvenli bir şekilde iletilmesi ve saklanması veya güvenli bir şekilde üretilebilir olması gerekir. Kimlik avı da bir risktir, Tek Kullanımlık Parolalar ise bir kullanıcının kimlik avına kanmaması için ekstra bir fırsat katmanı ekler. kullanıcı adı ve şifresini teslim etmeye zaten ikna olmuş kişiler, genellikle Tek Kullanımlık Şifreyi de teslim edecektir.
Çözüm
Bilgisayar güvenliğinde OTP, Tek Kullanımlık Pad veya Tek Kullanımlık Parola anlamına gelir. A One Time Pad, mükemmel gizlilik sunan bir şifreleme tekniğidir. Bununla birlikte, pratikte kullanımını zorlaştıran ve genellikle bilgisayarlarda doğru şekilde uygulanması çok zor olan bir dizi gereksinime sahiptir. Bir Seferlik Pedler elle kullanılabilir, bu da onları eski moda spycraft için kullanışlı kılar. Tek Kullanımlık Şifreler, oturum açmanız için kullanılabilecek gizli dizilerdir. geleneksel bir parolanın yanında veya onun yerine çalışabilirler. İki faktörlü kimlik doğrulama, Tek Kullanımlık Parolaların uygulanmasına bir örnektir.