Atacul de uzurpare a identității asupra parolei unice a lui Lamport

• Pe partea scurtă

  O parte a securității Parolei unice (LOTP) Lamport se bazează pe faptul că serverul stochează ultimul hash și, pentru data viitoare, necesită hash-ul anterior și îl hash pentru a se compara cu ultimul stocat. Prin urmare, atacatorul nu îl poate folosi pentru a uzurpa identitatea utilizatorului atâta timp cât funcția hash are rezistență înainte de imagine.

Ideea lui Lamport se bazează pe securitatea Hash-Chain după cum urmează;

• Inițializarea sistemului

  1. O sămânță inițială $s$ e ales.
  2. Hașișul $H$ este aplicat $n$- ori în cascadă $$h_n = H^{(n)} = \underbrace{H(H(\cdots H(s) \cdots ))}_{n-ori}$$ la sămânța inițială $s$ Unde $n$ poate fi 1000,10000 sau ..
  3. Serverul stochează inițial $h_n$ (și eventual $n$, de asemenea)
  4. Utilizatorul stochează $s$ și $n$

• Mecanism de conectare

  • Pentru prima autentificare

    1. Utilizatorul calculează $h_{n-1}$
    2. În procesul de conectare utilizatorul trimite $h_{n-1}$ la server.
    3. Verificări de server $H(h_{n-1}) = h_n$
    4. Pe un server de conectare reușit
       1. incrementa un contor $inc(c)$
       2. magazine $h_{n-1}$
    5. La conectare cu succes, setarea utilizatorului $n = n-1$ (sau posibil alta variabila)

  • Pentru $i$-a autentificare

    1. Utilizatorul calculează $h_{n-i}$
    2. La procesul de conectare utilizatorul trimite $h_{n-i}$ la server.
    3. Verificări de server $H(h_{n-i}) = h_{n-i+1}$
    4. Pe un server de conectare reușit
       1. incrementa un contor $inc(c)$
       2. magazine $h_{n-1}$
    5. La conectare cu succes, setarea utilizatorului $n = n-1$ (sau posibil alta variabila)

Acestea sunt elementele de bază și unele detalii sunt omise pentru claritate; de exemplu; din anumite motive, sistemul poate fi nesincronizat, adică numărul utilizatorului poate să nu fie sincronizat cu serverul. Pentru a gestiona acest lucru, serverul poate păstra un parametru privind privirea înainte $t$, deci pe $i$-a-a încercare de conectare dacă nu există egalitate $H(h_{n-i}) \neq h_{n-i+1}$, serverul se uită înainte dacă există o potrivire de la $h_{n-i+1}$ la $h_{n-i-t+1}$.

Acum ce dacă o terță persoană vede jetonul LOTP și încearcă să-și uzurpare identitatea utilizatorului.

1. Pentru o nouă autentificare nu o pot folosi deoarece au nevoie $H_{n-i-1}$. Pentru a avea acest lucru, trebuie să găsească o imagine prealabilă. Toate funcțiile hash criptografice și-au menținut garanțiile pre-imagine, inclusiv rezistența la coliziune ruptă un MD5 și SHA-1. Acest lucru nu înseamnă că ar trebui să le folosiți, preferați-le pe cele moderne precum SHA-256, SHA-512, SHA-3, BLAKE2 etc.

   Dacă sistemul permite cumva utilizatorului să folosească același token LOTP în timpul unei sesiuni, atacatorul poate uzurpa identitatea utilizatorului pentru această sesiune. Raza de atac nu poate depăși această sesiune din cauza rezistenței pre-imagine.

   Pe scurt, securitatea LTOP se bazează pe securitatea pre-imagine a $H$

2. Privirea înainte poate cauza o problemă? Nu. Serverul își actualizează valorile hash stocate la fiecare conectare. Dacă l-au stocat doar pe cea inițială și hashuri $i$-de ori pentru a verifica OTP, apoi privirea înainte este un punct de atac. Acesta este unul dintre motivele pentru a păstra ultimul hash, iar celălalt este performanța.

3. Secretul $\mathbf{s}$ mărimea, pe de altă parte, ar trebui să aibă cel puțin 128 de biți uniformi și generați aleatoriu pentru a preveni forța brută a $s$.