Time-based One-time Password algorithm

TOTP (Time-based One-Time Password Algorithm, RFC 6238^[1]) — OATH-алгоритм створення одноразових паролів для захищеної аутентифікації, є поліпшенням HOTP (HMAC-Based One-Time Password Algorithm). Є алгоритмом односторонньої аутентифікації — сервер засвідчується в справжності клієнта. Головна відмінність TOTP від HOTP це генерація пароля на основі часу, тобто час є параметром^[2]. При цьому зазвичай використовується не точне зазначення часу, а поточний інтервал з встановленими заздалегідь межами (наприклад, 30 секунд).

Історія ред.

З 2004 року OATH (The Initiative for open authentication) працювала над проектом одноразових паролів (OTP). Першим результатом був HOTP (the Hash-based Message Authentication Code (HMAC) OTP algorithm), опублікований у грудні 2005 року. Він був представлений як проект IETF (The Internet Engineering Task Force)^[2]^[3].

Подальша робота OATH йшла над покращенням HOTP. У 2008 році був представлений TOTP^[4]. Цей алгоритм не використовує лічильник для синхронізації клієнта та сервера, а генерує пароль на основі моменту часу, який дійсний протягом деякого інтервалу. Алгоритм діє так: клієнт бере поточне значення таймера та секретний ключ, хешує їх за допомогою довільної хеш-функції та відправляє серверу, а сервер у свою чергу проводить ті ж обчислення, після чого йому залишається тільки порівняти ці значення^[5]. Алгоритм може бути реалізований не лише за допомогою хеш-функції SHA-1, на відміну від HOTP, тому хеш-функція також є вхідним параметром^[2].

Пізніше у вересні 2010 року був представлений новий алгоритм, який додатково розширює TOTP та отримав назву OATH Challenge-Response Algorithms (OCRA). Головна відмінність від попередніх алгоритмів полягає в тому, що у перевірці достовірності бере участь також і сервер. Так що клієнт може бути впевнений у його достовірності^[2].

Принцип роботи ред.

По суті, TOTP є варіантом HOTP алгоритму, в якому в якості значення лічильника підставляється величина, що залежить від часу^[1]. Позначимо:

$T$ — дискретне значення часу, що використовується в якості параметра. (Вимірюється в одиницях $X$ , 4 байти)
$X$ — інтервал часу, протягом якого дійсний пароль. (За замовчуванням 30 сек.)
$T_{0}$ — початковий час, необхідний для синхронізації сторін. (За замовчуванням — час від початку UNIX ери)
$K$ — спільний секрет.
$CurrentTime$ — поточний час.

Тоді^[1]^[6]

T=(CurrentTime-T_{0})/X

\operatorname {HOTP} (K,T)=Truncate(\operatorname {HMAC-SHA-1} (K,T))

\operatorname {TOTP} =\operatorname {HOTP} (K,T)

де

HMAC-SHA-1(K,T) -генерація 20-ти байт на основі таємного ключа і часу за допомогою хеш-функції SHA-1.
Truncate — функція вибору певним способом 4 байт:

позначимо String — результат HMAC-SHA-1(K,T); OffsetBits — молодші 4 біта рядка String; Offset = StringToNumber(OffsetBits) і результатом Truncate буде рядок з чотирьох символів — String[Offset]...String[Offset + 3]^[6]

Також варто відзначити, що на відміну від HOTP, який заснований тільки на SHA-1, TOTP може також використовувати HMAC-SHA-256, HMAC-SHA-512 та інші HMAC-хеш-функції:

$\operatorname {TOTP} (K,T)=Truncate(\operatorname {HMAC-SHA-256} (K,T))$
$\operatorname {TOTP} (K,T)=Truncate(\operatorname {HMAC-SHA-512} (K,T))$

і т. д.^[1]

Надійність алгоритму ред.

Концепція одноразових паролів разом з сучасними криптографічними методами може використовуватися для реалізації надійних систем віддаленої аутентифікації^[5]. TOTP досить стійкий до криптографічних атак, проте ймовірність злому є, наприклад можливий такий варіант атаки «людина посередині»:

Прослуховуючи трафік клієнта, зловмисник може перехопити посланий логін і одноразовий пароль (або хеш від нього). Потім йому досить блокувати комп'ютер «жертви» і відправити аутентифікаційні дані від власного імені. Якщо він встигне це зробити за проміжок часу $X$ , то йому вдасться отримати доступ. Саме тому $X$ варто робити невеликим. Але якщо час дії пароля зробити дуже маленьким, то у разі невеликої розсинхронізації клієнт не зможе отримати доступ^[5].

Також існує вразливість пов'язана з синхронізацією таймерів сервера і клієнта, так як існує ризик розсинхронізації інформації про час на сервері і в програмному та/або апаратному забезпеченні користувача. Оскільки TOTP використовує в якості параметра, то при не збігу значень всі спроби користувача на аутентифікацію завершаться невдачею. У цьому випадку помилковий допуск чужого також буде неможливий. Варто відзначити, що ймовірність такої ситуації вкрай мала^[5].

Дивись також ред.

Примітки ред.

Джерела ред.

Nathan Willis. OATH: yesterday, today, and tomorrow. — LWN.net, 2010.
Joann Killeen, Madison Alexander. OATH Submits TOTP: Time-Based One Time Password Specification to IETF. Архів оригіналу за 23 січня 2013.
D. M'Raihi, M. Bellare, F. Hoornaert et al. HOTP: An HMAC-Based One-Time Password Algorithm — IETF, 2005. — 37 p. — doi:10.17487/RFC4226
d:Track:Q27105682 d:Track:Q22678443 d:Track:Q1932841 d:Track:Q217082 d:Track:Q27105706 d:Track:Q3018520
Давлетханов М. Концепция одноразовых паролей в построении системы аутентификации // Byte — США: 2006. — вып. 7-8 (95), июль-август. — ISSN 0360-5280; 1082-7838
d:Track:Q1018709 d:Track:Q30 d:Track:Q21694596 d:Track:Q21694594
Park J. H., Rodrigues J. J. P. C., Vaidya B. HOTP-Based User Authentication Scheme in Home Networks // Advances in Information Security and Assurance: Third International Conference and Workshops, ISA 2009, Seoul, Korea, June 25-27, 2009. Proceedings — Berlin, Heidelberg, New York, NY, London [etc.]: Springer Berlin Heidelberg, 2009. — P. 672–681. — (Lecture Notes in Computer Science; Vol. 5576) — ISBN 978-3-642-02616-4, 978-3-642-02617-1 — ISSN 0302-9743; 1611-3349 — doi:10.1007/978-3-642-02617-1_68
d:Track:Q21694586 d:Track:Q21694587 d:Track:Q21694585 d:Track:Q924044 d:Track:Q21694588 d:Track:Q21694589 d:Track:Q21587985
D. M'Raihi, S. Machani, M. Pei et al. TOTP: Time-Based One-Time Password Algorithm — IETF, 2011. — 16 p. — doi:10.17487/RFC6238
d:Track:Q22678443 d:Track:Q26882441 d:Track:Q26882437 d:Track:Q217082 d:Track:Q26882439 d:Track:Q26882440

Посилання ред.

OTP Oath HOTP TOTP PSKS DSKPP. Архів оригіналу за 24 січня 2013.

[FOOTNOTEM'Raïhi,_Machani,_Pei_et_al.2011-1] а ^б ^в ^г M'Raïhi, Machani, Pei et al., 2011.

[FOOTNOTENathan_Willis2010-2] а ^б ^в ^г Nathan Willis, 2010.

[FOOTNOTEVaidya,_Park,_Rodrigue2009-3] Vaidya, Park, Rodrigue, 2009.

[FOOTNOTEOATH_Submits_TOTP:_Time-Based_One_Time_Password_Specification_to_IETF-4] OATH Submits TOTP: Time-Based One Time Password Specification to IETF.

[FOOTNOTEДавлетханов2006-5] а ^б ^в ^г Давлетханов, 2006.

[FOOTNOTEM'Raïhi,_Bellare,_Hoornaert_et_al.2005-6] а ^б M'Raïhi, Bellare, Hoornaert et al., 2005.

[1]

[2]

[3]

[4]

[5]

[6]