การแอบอ้างเป็นการโจมตีรหัสผ่านครั้งเดียวของ Lamport

• ด้านสั้น

  ด้านหนึ่งของการรักษาความปลอดภัยของ One-Time Password (LOTP) ของ Lamport นั้นขึ้นอยู่กับข้อเท็จจริงที่ว่าเซิร์ฟเวอร์จัดเก็บแฮชล่าสุด และในครั้งต่อไป ต้องใช้แฮชก่อนหน้าและแฮชเพื่อเปรียบเทียบกับแฮชที่เก็บไว้ล่าสุด ดังนั้นผู้โจมตีจึงไม่สามารถใช้มันเพื่อแอบอ้างเป็นผู้ใช้ได้ตราบเท่าที่ฟังก์ชันแฮชมีการต่อต้านภาพล่วงหน้า

แนวคิดของ Lamport ขึ้นอยู่กับความปลอดภัยของ Hash-Chain ดังนี้

• การเริ่มต้นระบบ

  1. เมล็ดพันธุ์เริ่มต้น $s$ ถูกเลือก
  2. กัญชา $H$ นำไปใช้ $n$ครั้งในลักษณะลดหลั่น $$h_n = H^{(n)} = \underbrace{H(H(\cdots H(s) \cdots )}_{n-times}$$ ให้กับเมล็ดพันธุ์เริ่มต้น $s$ ที่ไหน $n$ ได้1000,10000หรือ..
  3. เซิร์ฟเวอร์เริ่มจัดเก็บ $h_n$ (และอาจจะ $n$, ด้วย)
  4. ผู้ใช้จัดเก็บ $s$ และ $n$

• กลไกการเข้าสู่ระบบ

  • สำหรับการเข้าสู่ระบบครั้งแรก

    1. ผู้ใช้คำนวณ $h_{n-1}$
    2. ในขั้นตอนการเข้าสู่ระบบผู้ใช้ส่ง $h_{n-1}$ ไปยังเซิร์ฟเวอร์
    3. การตรวจสอบเซิร์ฟเวอร์ $H(h_{n-1}) = h_n$
    4. บนเซิร์ฟเวอร์ที่เข้าสู่ระบบสำเร็จ
       1. เพิ่มเคาน์เตอร์ $inc(ค)$
       2. ร้านค้า $h_{n-1}$
    5. เมื่อผู้ใช้เข้าสู่ระบบสำเร็จแล้ว $n = n-1$ (หรือตัวแปรอื่นที่เป็นไปได้)

  • สำหรับ $i$-th เข้าสู่ระบบ

    1. ผู้ใช้คำนวณ $h_{n-i}$
    2. ในขั้นตอนการเข้าสู่ระบบผู้ใช้ส่ง $h_{n-i}$ ไปยังเซิร์ฟเวอร์
    3. การตรวจสอบเซิร์ฟเวอร์ $H(h_{n-i}) = h_{n-i+1}$
    4. บนเซิร์ฟเวอร์ที่เข้าสู่ระบบสำเร็จ
       1. เพิ่มเคาน์เตอร์ $inc(ค)$
       2. ร้านค้า $h_{n-1}$
    5. เมื่อผู้ใช้เข้าสู่ระบบสำเร็จแล้ว $n = n-1$ (หรือตัวแปรอื่นที่เป็นไปได้)

นี่คือข้อมูลพื้นฐานและรายละเอียดบางส่วนจะถูกข้ามไปเพื่อความชัดเจน ตัวอย่างเช่น; ด้วยเหตุผลบางอย่าง ระบบอาจไม่ซิงค์ นั่นคือจำนวนผู้ใช้อาจไม่ซิงค์กับเซิร์ฟเวอร์ ในการจัดการกับสิ่งนี้ เซิร์ฟเวอร์อาจคอยดูพารามิเตอร์ล่วงหน้า $t$, เป็นต้น $i$พยายามเข้าสู่ระบบครั้งที่ถ้าไม่มีความเท่าเทียมกัน $H(h_{n-i}) \neq h_{n-i+1}$เซิร์ฟเวอร์จะคอยดูหากมีการแข่งขันจาก $h_{n-i+1}$ ถึง $h_{n-i-t+1}$.

ตอนนี้อะไร หากบุคคลที่สามเห็นโทเค็น LOTP และพยายามปลอมตัวเป็นผู้ใช้

1. สำหรับการเข้าสู่ระบบใหม่พวกเขาไม่สามารถใช้งานได้เนื่องจากจำเป็น $H_{n-i-1}$. พวกนี้ต้องหารูปพรี ฟังก์ชันแฮชการเข้ารหัสทั้งหมดยังคงรักษาหลักทรัพย์พรีอิมเมจ รวมถึงความต้านทานการชนกันที่ MD5 และ SHA-1 เสียหาย ไม่ได้หมายความว่าคุณควรใช้ แต่ควรใช้แบบสมัยใหม่ เช่น SHA-256, SHA-512, SHA-3, BLAKE2 เป็นต้น

   หากระบบอนุญาตให้ผู้ใช้ใช้โทเค็น LOTP เดียวกันในระหว่างเซสชัน ผู้โจมตีอาจปลอมตัวเป็นผู้ใช้สำหรับเซสชันนี้ ระยะการโจมตีไม่สามารถไปได้ไกลกว่าเซสชันนี้เนื่องจากความต้านทานต่อภาพล่วงหน้า

   กล่าวโดยสรุปคือ ความปลอดภัยของ LTOP นั้นขึ้นอยู่กับการรักษาความปลอดภัยของพรีอิมเมจ $H$

2. การมองไปข้างหน้าอาจทำให้เกิดปัญหาได้หรือไม่? ไม่ เซิร์ฟเวอร์จะอัปเดตค่าแฮชที่เก็บไว้ในการเข้าสู่ระบบทุกครั้ง หากพวกเขาเก็บเพียงอันเริ่มต้นและแฮช $i$- เวลาตรวจสอบ OTP แล้วมองไปข้างหน้าเป็นจุดโจมตี นี่คือหนึ่งในเหตุผลที่ต้องเก็บแฮชสุดท้ายและอีกประการหนึ่งคือประสิทธิภาพ

3. ความลับ $\mathbf{s}$ ขนาดในทางกลับกัน ควรมีอย่างน้อย 128 บิตที่สม่ำเสมอและสุ่มสร้างขึ้นเพื่อป้องกันการดุร้ายของ $s$.