Рейтинг:2

Можно ли вывести будущие ключи на основе времени из предыдущего ключа?

флаг in

Если скомпрометирован основанный на времени ключ, сгенерированный приложением для проверки подлинности, таким как Google Authenticator, можно ли вывести будущие ключи из скомпрометированного ключа?

Рейтинг:3
флаг fr

Если под «ключом на основе времени» вы подразумеваете шести-восьмизначный одноразовый пароль, который вводит пользователь, то нет, компрометация одного из них не скомпрометирует будущие пароли. Это связано с тем, что одноразовый пароль генерируется из выходных данных HMAC с общим секретом в качестве ключа и отметкой времени в качестве значения. Если бы злоумышленник мог определить общий секрет или другие выходные данные из набора известных выходных данных, то HMAC не был бы безопасным кодом аутентификации сообщений, и мы в настоящее время считаем, что это так.

Более того, одноразовый пароль получается только из четырех из этих байтов, поэтому, даже если HMAC с данной хеш-функцией окажется небезопасным, конструкция TOTP предназначена для добавления некоторой дополнительной защиты от атак в способе, которым он выбирает байты. Однако, как упоминалось выше, у нас нет оснований полагать, что HMAC с SHA-1, SHA-256 или SHA-512 (которые являются конструкциями, используемыми в TOTP) уязвимы для лучшей атаки, чем грубая сила, при использовании таким образом. .

Если под «ключом на основе времени» вы имеете в виду общий секрет (обычно встроенный в отсканированный QR-код), который используется для получения одноразового пароля, то да, это полная компрометация, поскольку это весь общий секрет, и это из этого можно вывести все прошлые и будущие результаты.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.