Time-based One-time Password Algorithm

TOTP (Time-based One-Time Password Algorithm, RFC 6238^[1]) — OATH-алгоритм создания одноразовых паролей для защищенной аутентификации, являющийся улучшением HOTP (HMAC-Based One-Time Password Algorithm). Является алгоритмом односторонней аутентификации — сервер удостоверяется в подлинности клиента. Главное отличие TOTP от HOTP — это генерация пароля на основе времени, то есть время является параметром^[2]. При этом обычно используется не точное указание времени, а текущий интервал с установленными заранее границами (обычно — 30 секунд).

История

С 2004 года OATH (The Initiative for open authentication^[англ.]) трудилась над проектом одноразовых паролей (OTP). Первым результатом был HOTP (the Hash-based Message Authentication Code (HMAC) OTP algorithm), опубликованный в декабре 2005 года. Он был представлен как проект IETF (The Internet Engineering Task Force)^[2]^[3].

Дальнейшая работа OATH шла на улучшение HOTP и в 2008 году был представлен TOTP^[4]. Этот алгоритм не использует счетчик для синхронизации клиента и сервера, а генерирует пароль в зависимости от времени, который действителен в течение некоторого интервала. Алгоритм действует так: клиент берет текущее значение таймера и секретный ключ, хеширует их с помощью какой-либо хеш-функции и отправляет серверу, в свою очередь сервер проводит те же вычисления после чего ему остается только сравнить эти значения^[5]. Он может быть реализован не только на хеш-функции SHA-1, в отличие от HOTP, поэтому хеш-функция также является входным параметром^[2].

Позднее был представлен новый алгоритм, расширяющий TOTP ещё больше. Он был представлен в сентябре 2010 года и назван OATH Challenge-Response Algorithms (OCRA). Главное отличие от предыдущих алгоритмов заключается в том, что в проверке подлинности участвует и сервер. Так что клиент может быть также уверен в его подлинности^[2].

Принцип работы

По сути, TOTP является вариантом HOTP алгоритма, в котором в качестве значения счетчика подставляется величина, зависящая от времени^[1]. Обозначим:

[math]\displaystyle{ T }[/math] — дискретное значение времени, используемое в качестве параметра. (Измеряется в единицах [math]\displaystyle{ X }[/math], 8 байтов)
[math]\displaystyle{ X }[/math] — интервал времени, в течение которого действителен пароль. (По умолчанию 30 сек.)
[math]\displaystyle{ T_0 }[/math] — начальное время, необходимое для синхронизации сторон. (По умолчанию — время от начала UNIX эры)
[math]\displaystyle{ K }[/math] — разделяемый секрет.
[math]\displaystyle{ Current Time }[/math] — текущее время.

Тогда^[1]^[6]

[math]\displaystyle{ T = (Current Time - T_0)/X }[/math]

[math]\displaystyle{ \operatorname{HOTP}(K,T)=Truncate(\operatorname{HMAC-SHA-1}(K,T)) }[/math]

[math]\displaystyle{ \operatorname{TOTP} = \operatorname{HOTP}(K, T) }[/math]

где

HMAC-SHA-1(K,T) — генерация 20-ти байт на основе секретного ключа и времени с помощью хеш-функции SHA-1.
Truncate — функция выбора определенным способом 4 байт:

обозначим String — результат HMAC-SHA-1(K,T); OffsetBits — младшие 4 бита строки String; Offset = StringToNumber(OffsetBits) и результатом Truncate будет строка из четырёх символов — String[Offset]…String[Offset + 3]^[6]

Также стоит отметить что в отличие от HOTP, который основан только на SHA-1, TOTP может также использовать HMAC-SHA-256, HMAC-SHA-512 и другие HMAC-хеш-функциях:

[math]\displaystyle{ \operatorname{TOTP}(K,T)=Truncate(\operatorname{HMAC-SHA-256}(K,T)) }[/math]
[math]\displaystyle{ \operatorname{TOTP}(K,T)=Truncate(\operatorname{HMAC-SHA-512}(K,T)) }[/math]

и т. д.^[1]

Надежность алгоритма

Концепция одноразовых паролей вкупе с современными криптографическими методами может использоваться для реализации надежных систем удаленной аутентификации^[5]. TOTP достаточно устойчив к криптографическим атакам, однако вероятности взлома есть, например возможен такой вариант атаки «человек посередине»:

Прослушивая трафик клиента, злоумышленник может перехватить посланный логин и одноразовый пароль (или хеш от него). Затем ему достаточно блокировать компьютер «жертвы» и отправить аутентификационные данные от собственного имени. Если он успеет это сделать за промежуток времени [math]\displaystyle{ X }[/math], то ему удастся получить доступ. Именно поэтому [math]\displaystyle{ X }[/math] стоит делать небольшим. Но если время действия пароля сделать слишком маленьким, то в случае небольшой рассинхронизации клиент не сможет получить доступ^[5].

Также существует уязвимость связанная с синхронизацией таймеров сервера и клиента, так как существует риск рассинхронизации информации о времени на сервере и в программном и/или аппаратном обеспечении пользователя. Поскольку TOTP использует в качестве параметра время, то при не совпадении значений все попытки пользователя на аутентификацию завершатся неудачей. В этом случае ложный допуск чужого также будет невозможен. Стоит отметить что вероятность такой ситуации крайне мала^[5].

См. также

Примечания

Источники

Nathan Willis. OATH: yesterday, today, and tomorrow (англ.) // LWN.net : электронный журнал. — 2010.
Joann Killeen, Madison Alexander. OATH Submits TOTP: Time-Based One Time Password Specification to IETF (англ.). Архивировано 23 января 2013 года.
Шаблон:Source
Шаблон:Source
Шаблон:Source
Шаблон:Source

Ссылки

OTP Oath HOTP TOTP PSKS DSKPP (неопр.) (недоступная ссылка). Архивировано 24 января 2013 года.

[_b02f4e6079a317ec-1] {Перейти обратно: 1,0} ^1,1 ^1,2 ^1,3 M'Raïhi, Machani, Pei et al., 2011.

[_fcc1f93cb702ecdc-2] {Перейти обратно: 2,0} ^2,1 ^2,2 ^2,3 Nathan Willis, 2010.

[_865a8eea8ff9cbb3-3] Vaidya, Park, Rodrigue, 2009.

[_7a28f4a3ce8b1744-4] OATH Submits TOTP: Time-Based One Time Password Specification to IETF.

[_0b867f6613c8149f-5] {Перейти обратно: 5,0} ^5,1 ^5,2 ^5,3 Давлетханов, 2006.

[_cab016641e7b77af-6] {Перейти обратно: 6,0} ^6,1 M'Raïhi, Bellare, Hoornaert et al., 2005.

[1]

[2]

[3]

[4]

[5]

[6]