Акронім OTP використовується для позначення двох різних речей у комп’ютерній безпеці. Старішим значенням є «одноразовий блокнот», у сучасному контексті це набагато швидше стосується «одноразового пароля/паролю/PIN-коду». Як ви, ймовірно, можете здогадатися із загального використання терміну «Один раз», є певна схожість.
One Time Pad – основи
Одноразова панель — це метод шифрування. Теоретично він абсолютно безпечний і його неможливо зламати. Однак він не використовується широко, оскільки він має ряд обмежень і вимог, які серйозно перешкоджають його життєздатності на практиці. Перша проблема полягає в тому, що планшет вимагає, щоб ключ шифрування на планшеті був справді випадковим. Навіть генератори псевдовипадкових чисел PRNG, які використовуються для інших криптографічних цілей, недостатньо випадкові, щоб бути безпечними. Будь-який рівень передбачуваності в ключових матеріалах ставить під загрозу ідеальну передумову секретності.
Процес генерації ключів має бути повністю безпечним. Крім того, спосіб зв’язку з One Time Pad має бути безпечним. Тоді всі сторони також повинні продовжувати надійно зберігати одноразові прокладки. Використані одноразові ключі також необхідно надійно утилізувати. One Time Pad не пропонує жодного механізму автентифікації. Зловмисник, який знає відкритий текст і зашифрований текст, може відновити ключ. Потім вони можуть використати це для створення іншого зашифрованого тексту, за умови, що вони зберігають повідомлення того самого розміру або коротше. Нарешті, довжина повідомлення, яке шифрується, може бути дорівнює попередньо згенерованому ключу.
Використання терміну «pad» походить від того факту, що в більшості випадків розповсюджуються серії одноразових ключів пристойного розміру. Корисним форматом є блокнот із унікальним ключем на кожній сторінці. Коли повідомлення потрібно зашифрувати, використовується найвища сторінка. потім сторінку зазвичай видаляють і знищують, щоб запобігти її злому або повторному використанню.
One Time Pad – ускладнення
На практиці той факт, що One Time Pad має бути безпечно створений, переданий і збережений, як і будь-який спільний секрет, дуже ускладнює його використання. Наприклад, One Time Pad настільки безпечний, наскільки безпечний метод зв’язку. Якщо ви покладаєтеся на HTTPS для безпечного обміну даними з панеллю, зловмисник, який має можливість зламати це шифрування TLS, щоб отримати панель, не матиме подальших проблем із декодуванням повідомлень. Таким чином, блокнот із цифровим зв’язком не забезпечує додаткового захисту. У разі використання фізичного методу передачі, наприклад кур’єра або мертвої точки, планшет або безпечний, або ні. Це робить фізичні планшети набагато кориснішими, ніж цифрові планшети. Крім того, одноразові планшети на комп’ютері набагато важче безпечно видалити, і вони стикаються з проблемами збереження даних.
Якщо One Time Pad зламано, його можна використовувати для розшифровки минулих повідомлень. Щоб уникнути цього, зазвичай сторінку знищують, часто спалюють. Це запобігає повторному використанню ключа або його виявленню. Якщо блокнот скомпрометовано, але дотримується практики знищення, минулі повідомлення не можна розшифрувати. Однак майбутні повідомлення можна буде розшифрувати.
На практиці сучасна криптографія зазвичай більш ніж достатньо безпечна. Однією з переваг One Time Pad є те, що його можна використовувати вручну. Сучасна криптографія дуже складна і для її ефективного використання потрібен комп’ютер. Це робить One Time Pads корисними в шпигунських середовищах, коли повідомлення потрібно надсилати без використання Інтернету чи комп’ютерів. Під час холодної війни шпигуни часто використовували одноразові блокноти, надруковані на флеш-папері. Оскільки використана сторінка виготовлена з нітроцелюлози, її можна дуже швидко спалити без утворення диму.
Одноразовий пароль
Одноразовий пароль — це секретний рядок, який можна використовувати для автентифікації. Він повинен залишатися в таємниці, однак, на відміну від One Time Pad, його не можна використовувати для шифрування нічого, і він не має спеціальних вимог щодо випадковості. Загальним випадком використання одноразових паролів є двофакторна автентифікація. Наприклад, програма двофакторної автентифікації генерує одноразовий код на основі часу та секрету для підтвердження вашої особи. Одноразовий пароль навіть не обов’язково має бути унікальним. Двофакторні коди часто складаються з шести цифр. Це забезпечує достатню випадковість, щоб зробити вкрай малоймовірним те, що зловмисник зможе вгадати дійсний у потрібний час.
Деякі компанії, наприклад банки, також можуть попередньо створити список одноразових паролів і надіслати їх своїм клієнтам для використання в онлайн-банкінгу. Одноразові паролі в цьому випадку не можуть бути однаковими для всіх, але не обов’язково повинні бути на 100% унікальними в усіх випадках.
Одноразові паролі можуть бути дещо незграбними з точки зору взаємодії з користувачем. Паролі мають бути безпечно передані та збережені або безпечно створені. Фішинг також є ризиком, тоді як одноразові паролі додають користувачеві додаткову можливість не попастися на фішинг, користувач які вже були переконані передати своє ім’я користувача та пароль, зазвичай також передадуть одноразовий пароль.
Висновок
У комп’ютерній безпеці OTP означає One Time Pad або One Time Password. One Time Pad — це техніка шифрування, яка забезпечує повну секретність. Однак він має низку вимог, що робить його незручним у використанні на практиці, і його, як правило, дуже складно правильно реалізувати на комп’ютерах. Одноразові підкладки можна використовувати вручну, що робить їх корисними для старомодного шпигунського мистецтва. Одноразові паролі — це секретні рядки, які можна використовувати для входу. вони можуть працювати разом із традиційним паролем або замість нього. Двофакторна автентифікація є одним із прикладів реалізації одноразових паролів.