TCS:One-Time Password 一次性密码及其应用

作者: , 共 1276 字 , 共阅读 0

题外话:此篇隶属于理论计算机(TCS)系列

昨天, RSA 实验室的首席科学家 Burt Kaliski (同时也是副总裁)给我们做了一个讲座,关于最新的 One-Time Password 的一些应用。开始讲的时候还不觉得有啥,后来想了一下,这玩艺儿还是挺有用的,怪不得 RSA Lab 对之这么看重。

One-Time Password ,就是给用户端一个 Token (可以是一个小电子设备的形式),与服务器段共享了一个 seed ,利用这个 seed ,双方在相同时间能产生一个相同的 password (比如使用 hash 函数处理 seed + time——hash 函数介绍见从 hash 函数到王小云的 MD5 破解),用户利用 Token 生成的密码登录服务器,服务器进行对比验证。

目前密码体系的不安全之处在于数据传输可能被监听,用户客户端可能存在木马,用户可能随手写下密码造成密码泄露等等。而利用上面的 One-Time Password ,即使这个密码被人非法获取,也不会造成损失。所以,这玩艺儿在银行的密码管理中是非常有用的,听说有银行已经开始使用此类技术。

Burt Kaliski 此次讲座讲了 One-Time Password 的四个应用:

  • How to authenticate to a laptop computer with an OTP token -- without storing long-term secrets on the computer
  • How to use the same token to authenticate to multiple servers -- without sharing secrets among the servers or relying on a third party
  • How to set up a strong, shared key between parties that only share a short OTP value
  • How to protect OTPs against malware and MITM attacks

这些比较技术化,不详述。

关于 RSA 实验室: RSA 即鼎鼎有名的 RSA 公钥密码体系,在密码界举足轻重。讲座完毕之后,有人问起 RSA 的前途, Burt 说 RSA 公钥密码体系已经发明 30 年了,估计还能用 30 年,因为估计 30 年后量子计算机已经有所突破(量子计算机下, RSA 公钥密码体系所依赖的大数分解已经被证明是不安全的)。

记得 Yao 以前也多次提到,在未来 15 到 20 年,量子计算机必有所突破,是将来的大热门啊。也许我也应该去玩这个。

参考:

Q. E. D.

类似文章:
从 hash 函数到王小云的 MD5 破解我们介绍了 hash 函数的一些基本概念和 MD5 碰撞的一个「应用」,最近在这个问题上又有了新的进展。
比特币协议里使用了 ECDSA (椭圆曲线签名算法),我之前以为它和基于大数分解的 RSA 公钥密码体系差不多。这两天看了下维基百科,才发现它们之间的差异挺大。
密码学是理论计算机的一个很大的方向。之前准备先写密码学概论再提在 hash 函数破解上做出重大贡献的王小云教授的工作,不过前两天新闻报道《王小云获得求是杰出科学家奖以及 100 万奖金》,在媒体上又掀起了一轮宣传狂潮,但是有些报道极端弱智,错误百出,所以我趁机纠正一下,并介绍密码学的一个组成部分——hash 函数,以及王小云老师在这上面的工作。
相似度: 0.085
IT » github
github 自从废除用户名密码直接登录之后,就乱了很多。直接用户名密码会提示:
IT » 比特币, 数字货币
最近看到一篇文章Satoshi』s Genius: Unexpected Ways in which Bitcoin Dodged Some Cryptographic Bullets,国内有人翻译过(中本聪的天才:比特币以意想不到的方式躲开了一些密码学子弹)。里面说的第一个就是天才的中本聪并不是将公钥而是将公钥两次 HASH 之后作为比特币账户的地址,这可以让比特币系统抵抗量子计算机的攻击。
IT » 比特币
最近 bitcoin 很火,我也是最先从云风那里了解到的,后来发现李笑来&霍炬对其都有涉及。不过他们对其具体技术原理的描述还是不够细致,所以我自己把bitcoin wiki又重新看了一遍。 看完之后,疑惑挺多,我对这个体系远没有前面三位这么乐观。诚然,它会成为"Geeks "手中的玩物甚至灰色交易的工具,但要说的达到「一出天下反」的程度,那还需要解决一些技术和金融方面的问题。
英文是 communication complexity ,不知道该翻译成通信复杂性,还是通讯复杂性呢。这里先用通讯复杂性吧。这是一个理论计算机的子领域,在过去 30 年衍生了很多东西。它是我的研究的主要内容,这里简略介绍一下。
理论计算机(I)课上讲的一个问题,很有意思。
Game Theory 即博弈论,目前在经济学中运用得最多(纳什更因为他在这上面的工作拿到了诺贝尔经济学奖)。但在最近几年,理论计算机界对它的研究也很热。
我所学的专业英文名是 Theoretical Computer Science ,理论计算机科学,在这里我就简化成理论计算机了。具体研究些什么呢,下面是Andrew Yao的研究方向
这个问题在 Yao 的理论计算机课上整整讨论了 2 节课。它是一个算法设计问题,也极具趣味性。下面是它的一些介绍和解决方案([1])。
碎碎念 » 心理学,
4 月 26 日,在爱达荷州秋季大型科学展览会上,一个来自鹰石中学的高中生的方案获得了一个一等奖。