HOTP

Az oldal jelenlegi verzióját még nem ellenőrizték tapasztalt közreműködők, és jelentősen eltérhet a 2017. január 4-én felülvizsgált verziótól ; az ellenőrzéshez 31 szerkesztés szükséges .

A HOTP ( HMAC -alapú egyszeri jelszó-algoritmus ) egy egyszeri jelszót (One Time Password, OTP) használó biztonságos hitelesítési algoritmus. HMAC (SHA-1) alapján . Ez egy egyirányú hitelesítési algoritmus, nevezetesen: a szerver hitelesíti a klienst .

A jelszógenerálás dinamikájáért felelős paraméterként egy eseményt használnak, vagyis a generálás tényét [1] : minden alkalommal, amikor új jelszót készítenek, az eseményszámláló eggyel növeli az értékét, és ez a monoton növekedés. az algoritmus fő paramétereként használt érték. Az egyszeri jelszavak kiszámításának második paramétere egy szimmetrikus kulcs, amelynek minden generátorhoz (klienshez) egyedinek kell lennie, és mindenkitől privátnak kell lennie, kivéve magát a szervert és magát a generátort (klienst).

Történelem

Az algoritmust először az IETF csapata írta le hivatalosan 2005 decemberében. [2] [3] Ez volt az Initiative for Open Authentication ( OATH ) első igazán sikeres projektje. [4] Az egyszeri jelszavak generálására szolgáló algoritmusok a mobilipar rohamos fejlődése miatt ekkoriban széles körben elterjedtek. Megbízható algoritmust igényel, megvalósítása egyszerű.

2008-ban a HOTP megszületett egy erősebb időalapú egyszeri jelszóalgoritmus (TOTP), amely nagyrészt örökli szülője tulajdonságait. 2010 szeptemberében egy hatékony OATH Challenge-Response Algorithm ( OCRA ) hitelesítési algoritmust fejlesztettek ki a TOTP alapján. [négy]

A HOTP algoritmus újításokat vezetett be az egyszeri jelszavak generálására szolgáló technológiában is. Az akkoriban stabil SHA-1 hash függvényt egy nem triviális megoldással kombinálták az eseményszámlálóval. Ezek a funkciók a HOTP-t olyan szintre emelték, mint az olyan jól bevált algoritmusok, mint az S/KEY . [négy]

Számlálók a HOTP-ben és a TOTP-ben

A fő különbség a két algoritmus között a jelszó generálása az időbélyeg alapján, amelyet a TOTP algoritmus paraméterként használ. Ebben az esetben nem a pontos időértéket használjuk, hanem az aktuális intervallumot, amelynek határait előre beállítottuk (például 30 másodperc) [5]

A HOTP létrehoz egy kulcsot egy megosztott titok és egy időfüggetlen számláló alapján. Ennek az algoritmusnak a modellje eseményeken alapul – például minden alkalommal, amikor a következő egyszeri jelszó generálódik, a számláló növekszik. Ezért a később generált jelszavaknak minden alkalommal másnak kell lenniük.

Emiatt a HOTP-algoritmusban a számláló alapja a többi időzítőt használó algoritmustól eltérően védve van a továbbító eszközök deszinkronizálásától vagy a köztük lévő túl nagy távolságtól (olyan távolságtól, hogy a címzetttől később érkezik válasz a jelszó érvényességi ideje lejár) [2] . Ez lehetővé teszi, hogy a HOTP jelszavak korlátlan ideig érvényesek maradjanak, míg a TOTP jelszavak meghatározott idő elteltével már nem lesznek érvényesek.

Ennek eredményeként, feltételezve, hogy ugyanazt a hash függvényt használják, mint a HOTP-ben, ez az algoritmus működési különbsége biztonságosabb és előnyben részesített megoldássá teszi a TOTP -t az egyszeri jelszavak esetében [6]

Az algoritmus leírása

Jelölés

$K$ - Egy titkos kulcs, amely minden ügyfél számára egyedi, és csak ő és a szerver ismeri. Hossz – 160 bit (ajánlott) vagy 128 bit (minimum) [1]
$C$ — A 8 bájtos eseményszámláló aktuális állapota
$D$ — A generált jelszó számjegyeinek száma
$T$ - A sikertelen engedélyezési kísérletek száma, amelyek után a szerver blokkolja a kapcsolatot az ügyféllel
$s$ — Deszinkronizálási paraméter. Meghatározza a maximális eltérést a szerver és a kliens számlálója között, amelynél az egyszeri jelszó elfogadásra kerül.

Általános leírás

Az algoritmusnak legalább 6 számjegyet kell visszaadnia a megfelelő jelszóbiztonság érdekében. A biztonsági követelmények szintjétől függően használhat magasabb számjegyeket a HOTP-hez, hogy a jelszót ellenállóbbá tegye a támadásokkal szemben. Az algoritmus működése a következő képlettel írható le [1] :

H O T P ( K , C ) = T r u n c a t e ( H M A C − S H A − egy ( K , C ) ) {\displaystyle HOTP(K,C)=Csonka(HMAC-SHA-1(K,C))}

HOTP(K,C)=Csonka(HMAC-SHA-1(K,C))

Az algoritmus folyamata a következő lépésekre osztható:

Egy 20 bájtos karakterlánc jön létre a és paraméterekkel inicializált hash függvény használatával : ${\textstyle HS}$ $HMAC-SHA-1$ $K$ $C$ $HS=HMAC-SHA-1(K,C)$
4 bájt van kiválasztva bizonyos módon a következők közül : $HS$ $S_{bits}=Csonkítás(HS)$
1. Az eredmény utolsó bájtjának utolsó négy bitje számmá alakul $S_{bits}[19]$ $offset\in (0,15)$
2. A bájtok sorozatát változóvá alakítjuk $HS[eltolás]..HS[eltolás+3]$ $P$
3. $Truncate(HS)$ az utolsó 31 bitet adja vissza. A legjelentősebb bit figyelmen kívül hagyásának oka az egész számok számításának különböző megvalósításai a különböző processzorokban [1] $P$ $P$
A munka eredményét számsorozattá alakítjuk : $Truncate()$ $D$ ${\displaystyle HOTP=toNumber(Truncate(HS))\,\,mod\,10^{D))$

Példa egy 6 számjegyű HOTP-érték kiszámítására

Ez a példa [1] egy olyan algoritmus működését mutatja be, amely 160 bites hitelesítési kódból hatjegyű numerikus jelszót állít elő. Legyen egy bizonyos lépésnél a karakterlánc értéke $hmac\_result[0]..hmac\_result[19]$ $HMAC-SHA-1$

int offset = hmac_eredmény[19] & 0xf; int bin_code = (hmac_eredmény[eltolás] & 0x7f) << 24 | (hmac_eredmény[eltolás+1] & 0xff) << 16 | (hmac_eredmény[eltolás+2] & 0xff) << 8 | (hmac_eredmény[eltolás+3] & 0xff);

Akkor az eredmény így fog kinézni:

Byte index	0	egy	2	3	négy	5	6	7	nyolc	9	tíz	tizenegy	12	13	tizennégy	tizenöt	16	17	tizennyolc	19
Jelentése	1f	86	98	69	0e	02	kb	16	61	85	ötven	ef	7f	19	da	8e	94	5b	55	5a

Az utolsó bájt 0x5a
Az alsó 4 bitből kapott shift érték 0xa, így a 10-es számot kapjuk
A 10. pozíciótól kezdődő 4 egymást követő bájt értéke 0x50ef7f19, amely DBC1 [7] bináris kódra (dinamikus bináris kód) lesz konvertálva.
A DBC1-től kapott MSB 0x50. Ezért DBC2 [8] = DBC1 = 0x50ef7f19
Ezenkívül a bináris értékeket pozitív számként kezeli, a magastól az alacsonyig írva, az első bájtot 0x7f értékkel takarja.
A HOTP hatjegyű számának megszerzéséhez az előző lépésben kapott számot kell vennie modulo 10 6 - $HOTP=DBC2{\pmod {10^{6))}=872921$

Egyszeri jelszó ellenőrzése

A számlálóértékek ellenőrzése

Amikor a generátor (kliens) új egyszeri jelszót hoz létre, a kliens számlálójának értéke eggyel nő. A jövőben a számláló értéke a billentyűvel együtt a hash függvény bemenetére kerül . Ezt követően elküldik a hitelesítési szerverre, ahol összehasonlítják a szerver által kiszámított értékkel. Ha az értékek egyeznek, figyelembe véve az eltérést legfeljebb a deszinkronizálási paraméternél , akkor a szerver eggyel növeli a számláló értékét. Ha az adatok nem egyeznek, akkor a szerver elindítja az újraszinkronizálást, és hiba esetén megismétli, amíg el nem éri a sikertelen hitelesítési kísérletek korlátját . Ezt követően a szerver blokkolja a felhasználói fiókot [1] . $C$ $HMAC-SHA-1$ $K$ $C$ $s$ $T$

Nincs szinkronban az ügyfél és a szerver között

Ahogy korábban említettük, az ügyfél minden alkalommal frissíti az eseményszámláló értékét, amikor az egyszeri jelszót generálják. A szerveren lévő számláló értéke viszont csak a sikeres hitelesítés után növekszik. Ezen állítások alapján leírható, hogy miért van szükség az újraszinkronizálási folyamat végrehajtására:

Hitelesítés sikertelen. A kliens a jelszó létrehozása után frissítette a számláló értékét, de a szerveren lévő érték nem változott
Kommunikációs probléma. A kliens a jelszó elküldése után megnövelte a számláló értékét, de a jelszó nem jutott el a szerverhez

Ez ahhoz vezet, hogy az out of sync paramétert kell használni , amely annak az ablaknak a méretéért lesz felelős, amelyen belül a kliens és a szerver számlálóértékei szinkronizáltnak tekintendők. $s$

Számláló újraszinkronizálás

Az újraszinkronizálást kizárólag a szerver végzi. Ez abból áll, hogy új értéket számítanak ki az eseményszámlálóhoz úgy, hogy annak értéke megegyezzen az ügyféltől kapott értékkel az értékek közötti különbségen belül, legfeljebb . Ha ez a feltétel teljesül, akkor a szerver frissíti a saját számlálójának értékét [1] . $s$

Ellenkező esetben a szerver újraszámolja a számláló állapotát. A folyamat során a szerver többször is kérhet további OTP értékeket. Ez a biztonsági szint növelése érdekében történik, mivel a jelszavak összehasonlítása ebben az esetben két vagy három pár esetén történik. Ha eléri az újrapróbálkozási korlátot, a szerver zárolja a felhasználói fiókot. A paraméter azt az ablakot is meghatározza, amelyen belül a szerver növeli a számlálót az újraszinkronizálási folyamat során. Ez a limitparaméter a következőkre szolgál: $s$

A helyes jelszó kitalálásának lehetőségét korlátozzák
Akadályozza meg, hogy az értékszámítás egyetlen ellenőrzésen belül hurkoljon

Biztonság

Az algoritmus megbízhatósága

A HOTP segítségével épített biztonsági rendszerek nagyfokú megbízhatósággal rendelkeznek. Ezek többnyire ellenállnak a széles körben elterjedt kriptográfiai támadásoknak, például:

" Man in the middle " típusú támadás ( Man-in-the-middle ). A támadó nem hamisíthatja meg a továbbított üzenetet, mivel a jelszó gyakran változik. A kriptográfiai elemzés számos módszere kevéssé válik hasznossá ebben az esetben. Egyes megvalósításokban a jelszó generálására használt számláló minden átvitel után megváltozik. Ha az üzenetek elég erős titkosítással vannak titkosítva, akkor a HOTP szinte lehetetlenné teszi a jelszó kitalálását. [3]

Replay támadás . Itt a siker a rendszer konfigurációjától függ. Abban az esetben, ha például egy hitelesítési kiszolgálót használnak a felhasználó bejelentkezési jogainak biztosítására, a támadónak számos problémája adódik. A szerver minden üzenet fogadása után eggyel növeli a számlálót. Ezért a duplikált üzenet elemi küldése nem megy át az ellenőrzésen - az üzenetet egy értékkel hozták létre, és az ellenőrzést egy másik végzi. [3]

Ha a kulcs tetszőleges számjegyekből áll , akkor a brute force támadás sikerének valószínűségét a blokkolás előtti hitelesítési kísérletek jelenlétében a képlet számítja ki . Például 5 engedélyezett kísérlettel hatjegyű jelszó megadására és érvényes ablakméretre a támadás sikerének esélye 0,015%. $D$ $T$ ${\displaystyle p=sT/10^{D))$ $s=30$

A támadónak gyakran sikerül ellopnia egy kivonatolt felhasználói jelszót a hitelesítési szerverről, amelyet a hitelesítéshez használnak. A jelszó-létrehozó algoritmus azonban eseményszámlálót is használ. Mivel a számláló kezdeti értékét a szerver választja ki, az általában véletlenszerű, ami megnehezíti a kommunikációs csatorna feltörését még akkor is, ha a támadónak megosztott titka van. [3]

A védelem növelésének módjai

Ezek a változtatások nem kötelezőek, illetve az algoritmus szerzői által javasolt bővítések. Saját megvalósításának biztonsági szintjének növeléséhez azonban a következő lehetőségeket használhatja [1] :

A HOTP érték hosszának növelése .

Minden új karakter kiemelése az eredményből drasztikusan csökkenti a sikeres támadás esélyét. Ennek köszönhetően kényelmesebbé teheti a jelszavakkal való munkát. Például növelje a beviteli kísérletek számát, vagy bővítse ki a tartományt, amelyben a szerver és a kliens számláló értékeit összehasonlítja. $HMAC-SHA-1$

Alfanumerikus értékek .

Ennek az ötletnek az a célja, hogy ne csak számokat használjunk a jelszóhoz, hanem az AZ karaktereket is. Inkább egy alfanumerikus halmaz 32 karakterből álló halmazáról beszélünk. Azonnal láthatja, hogyan nőtt a jelszavas biztonság szintje, mert most a brute-force keresés sikerének valószínűsége a 6 karakterből álló jelszavakra vonatkozik. $sT/32^{6}$

Számláló alapú újraszinkronizálás .

Ha a feltételek lehetővé teszik, hogy a kliens ne csak a HOTP értéket, hanem más adatokat is küldjön, akkor az újraszinkronizálási folyamatot sokkal kényelmesebbé és biztonságosabbá teheti, ha a HOTP értékkel együtt a kliens az eseményszámláló állapotát is elküldi a szerver. Ebben az esetben a kliens HOTP értéke a számláló állapot álbeszúrásaként fog működni.

A számlálóértékek hitelességének és megfelelőségének ilyen módon történő ellenőrzésével megtagadhatja a deszinkronizálási paraméter használatát, ami szintén növeli az algoritmus védelmi szintjét, mivel a frissített rendszerben a nyers erő sikerének valószínűsége támadás lesz csak . $T/10^{6}$

Alkalmazás

A HOTP szabványosításával az OATH egyesülése nem adott útmutatást az algoritmus megvalósításához. Éppen ellenkezőleg, a fejlesztők szabadsága lehetővé teszi, hogy új megoldásokat találjanak, igyekezve megfelelni az ügyfél igényeinek, és innovatív módon járuljanak hozzá az OTP technológiához. [2] [3] [9]

A HOTP gyakori megvalósítása Java nyelven az org.jboss.security.otp csomagban található, amely az Apache Jboss ingyenes webszerver szabványos könyvtáraiban található.

A Java nyelv másik megvalósítását közvetlenül az OATH unió biztosítja az org.openauthentication.otp csomagban.

Megemlítheti még a megvalósítást - az OATH Toolkit projektet, amelynek liboath könyvtára lehetővé teszi jelszavak létrehozását HOTP és TOTP módban. [tíz]

Számos alacsony intelligenciájú eszközt kifejezetten jelszavak generálására vagy adatátvitelre terveztek HOTP és TOTP segítségével (Feitian, SecuTech, SmartDisplayer, Vasco, Yubico, Protectimus [11] ). Az algoritmust otthoni hálózatokban is használják perifériák távirányítóval vagy mobiltelefonnal történő vezérlésére. [3]

Az algoritmus megvalósításának követelményei

A kéttényezős hitelesítést támogatni kell. Ebben az esetben feltételezzük, hogy az első tényező az egyszeri jelszógenerátor, a második pedig valamilyen további titok, amelyet az egyszeri jelszóhoz adnak [3]
A szervert védeni kell a brute-force támadásoktól, azaz bizonyos számú sikertelen hitelesítési kísérlet után a felhasználói fiókot le kell tiltani [1]
Biztonságos csatornát kell használnia

Ezen kívül

A HOTP az SHA-1- en alapul , amely már nem tekinthető kellően ütközésállónak. A HOTP algoritmus azonban csak azt használja ki, hogy az alapján számított szám véletlenszerű, így az ütközések jelenléte közvetlenül nem befolyásolja a működését. [2] [9]

Az egyirányú hitelesítés azt jelenti, hogy az ügyfél kérésre megpróbál kapcsolatot létesíteni. A szerver ezután visszaküldi a kérést a kliensnek, és ellenőrzi a válasz hitelességét. Az OCRA algoritmus módosítása lehetővé teszi a felhasználó számára a szerver hitelesítését is. [négy]

Lásd még

Időalapú egyszeri jelszó-algoritmus

Jegyzetek

↑ 1 2 3 4 5 6 7 8 9 Hoornaert, Frank, Naccache, David, Bellare, Mihir, Ranen, Ohad. HOTP : HMAC-alapú egyszeri jelszó-algoritmus . tools.ietf.org. Letöltve: 2017. március 26. Az eredetiből archiválva : 2019. április 6..
↑ 1 2 3 4 „Algoritmus agility és OATH”, Burt Kaliski, RSA Laboratories. 2005. május 19.
↑ 1 2 3 4 5 6 7 Binod Vaidya, Jong Hyuk Park és Joel JPC Rodrigues "HOTP-alapú felhasználói hitelesítési rendszere az otthoni hálózatokban". 2009
↑ 1 2 3 4 „ESKÜK: tegnap, ma és holnap”, Nathan Willis, 2010. december 15.
↑ Nathan Schmidt. Nathan Schmidt - Lebontás: HMAC-alapú egyszeri jelszavak (angol) (lefelé mutató link) . nathschmidt.net. Letöltve: 2017. március 27. Az eredetiből archiválva : 2016. április 3.
↑ Egyszeri jelszavak - HOTP és TOTP , aldaris blogja ( 2014. február 28.). Archiválva az eredetiből 2018. június 11-én. Letöltve: 2017. március 22.
↑ M. Bellare, R. Canetti és H. Krawczyk. Keyed Hash Functions and Message Authentication // Proceedings of Crypto'96, LNCS Vol. 1109, pp. 1-15..
↑ Krawczyk, H., Bellare, M. és R. Canetti. HMAC: Keyed-Hashing for Message Authentication // RFC 2104 . - 1997. - február.
↑ 1 2 "Attacks on SHA-1" az Initiative for Open AuTHentication által, 2005. március 2.
↑ Simon Josefsson "Az OATH eszköztár bemutatása", 2011.
↑ Protectimus . Letöltve: 2015. augusztus 21. Az eredetiből archiválva : 2018. április 20. (határozatlan)

Linkek

RFC 4226
HOTP-alapú felhasználói hitelesítési séma otthoni hálózatokban