Атака с выдачей себя за одноразовый пароль Лэмпорта

• На короткой стороне

  Одна сторона безопасности одноразового пароля Лэмпорта (LOTP) основана на том факте, что сервер сохраняет последний хеш и в следующий раз требует предыдущий хеш и хэширует его для сравнения с последним сохраненным. Поэтому злоумышленник не может использовать его для олицетворения пользователя, пока хэш-функция имеет устойчивость к прообразу.

Идея Лэмпорта основана на безопасности Hash-Chain следующим образом;

• Инициализация системы

  1. Начальное семя $s$ выбран.
  2. Хэш $Ч$ применены $n$- раз в каскадной манере $$h_n = H^{(n)} = \underbrace{H(H(\cdots H(s) \cdots))}_{n-times}$$ к начальному семени $s$ куда $n$ может быть 1000,10000 или ..
  3. Изначально сервер хранит $h_n$ (и возможно $n$, тоже)
  4. Пользователь хранит $s$ и $n$

• Механизм входа

  • Для первого входа

    1. Пользователь вычисляет $h_{n-1}$
    2. В процессе входа пользователь отправляет $h_{n-1}$ на сервер.
    3. Проверка сервера $H(h_{n-1}) = h_n$
    4. На успешном сервере входа
       1. увеличить счетчик $ вкл (с) $
       2. магазины $h_{n-1}$
    5. При успешном входе в систему набор пользователей $n = n-1$ (или, возможно, другая переменная)

  • Для $я$-й логин

    1. Пользователь вычисляет $h_{n-i}$
    2. В процессе входа пользователь отправляет $h_{n-i}$ на сервер.
    3. Проверка сервера $H(h_{n-i}) = h_{n-i+1}$
    4. На успешном сервере входа
       1. увеличить счетчик $ вкл (с) $
       2. магазины $h_{n-1}$
    5. При успешном входе в систему набор пользователей $n = n-1$ (или, возможно, другая переменная)

Это основы, и некоторые детали опущены для ясности; Например; по какой-то причине система может быть не синхронизирована, то есть счетчик пользователя может не синхронизироваться с сервером. Чтобы справиться с этим, сервер может сохранить параметр просмотра вперед $t$, так что на $я$-я попытка входа в систему, если нет равенства $H(h_{n-i}) \neq h_{n-i+1}$, сервер смотрит вперед, если есть совпадение с $h_{n-i+1}$ к $h_{n-i-t+1}$.

Что теперь если третье лицо увидит токен LOTP и попытается выдать себя за пользователя.

1. Для нового входа они не могут использовать его, так как им нужно $H_{n-i-1}$. Для этого им нужно найти прообраз. Все криптографические хеш-функции сохранили свои прообразы безопасности, включая защиту от коллизий, нарушенную MD5 и SHA-1. Это не означает, что вы должны их использовать, предпочитайте современные, такие как SHA-256, SHA-512, SHA-3, BLAKE2 и т. д.

   Если система каким-то образом позволяет пользователю использовать один и тот же токен LOTP во время сеанса, злоумышленник может выдать себя за пользователя для этого сеанса. Диапазон атаки не может выйти за пределы этого сеанса из-за сопротивления прообраза.

   Короче говоря, безопасность LTOP основана на безопасности предварительного образа $Ч$

2. Может ли просмотр вперед вызвать проблему? Нет. Сервер обновляет сохраненные хеш-значения при каждом входе в систему. Если бы они хранили только начальный и хэши $я$-times для проверки OTP, затем просмотр вперед является точкой атаки. Это одна из причин сохранения последнего хэша, а вторая — производительность.

3. Секрет $\mathbf{s}$ размер, с другой стороны, должен иметь по крайней мере однородные и случайно сгенерированные 128 бит, чтобы предотвратить грубую силу $s$.