Я хотел бы понять, как работают токены RSA (SecurID), какой алгоритм используется там, является ли тот же алгоритм, что и обычное шифрование/дешифрование RSA?
Как работают токены RSA?
Ответ 1
Ссылаясь на Wiki
Механизм аутентификации RSA SecurID состоит из "токена" - либо аппаратного обеспечения (например, USB-ключа), либо программного обеспечения (мягкого токена) - который назначается пользователю компьютера и который генерирует код аутентификации с фиксированными интервалами (обычно 60 секунд) с использованием встроенных часов и карточки factory -кодированного случайного ключа (известного как "семя" ). Семя различается для каждого токена и загружается на соответствующий RSA SecurID-сервер (RSA Authentication Manager, ранее ACE/Server) при покупке токенов 1.
Таким образом, это может иметь что-то, связанное с алгоритмом открытого ключа RSA. Немного известно о реальных внутренних компонентах SecurID (безопасность по неизвестности), но есть некоторый анализ, например. начальный анализ securid и более внизу страницы SecurID в Википедии.
Кроме того, аппаратные токены Тампер устойчивый, поэтому почти невозможно дублировать украденный токен.
UPDATE: благодаря eyaler, нет никаких открытых/закрытых ключей в классическом SecurID; они основаны на "общей тайне", а не на асимметричном алгоритме. Википедия говорит, что вариант AES-128 используется для создания кодов токенов из секретного ключа ( "семя" ). Секретный ключ закодирован в ключ в factory.
Ответ 2
Вы можете посмотреть, как это делается на http://seclists.org/bugtraq/2000/Dec/459
Механизм (упрощенного)
hash = <some initial value>
every x seconds do:
hash = hashfunction(hash + secret_key)
print hash
Ответ 3
Я могу дать вам представление о том, как работают мобильные аутентификаторы Blizzard, поскольку их код был открыт с открытым исходным кодом. (архив)
В кратком псевдокоде это:
String GetCurrentFOBValue()
{
// Calculate the number of intervals since January 1 1970 (in UTC)
// The Blizzard authenticator rolls over every 30 seconds,
// so codeInterval is the number of 30 second intervals since January 1 1970.
// RSA tokens roll over every minute; so your counter can be the number
// of 1 minute intervals since January 1, 1970
// Int64 codeInterval = GetNumberOfIntervals();
Int64 codeInterval = (DateTime.Now - new DateTime(1970,1,1)).TotalSeconds / 30;
// Compute the HMAC_SHA1 digest of the code interval,
// using some agreed-upon 20-bytes of secret key material.
// We will generate our 20-bytes of secret key material by
// using PBKDF2 from a password.
// Blizzard mobile authenticator is given secret key material
// when it enrolls by fetching it from the web-site.
Byte[] secret = PBKDF2("Super-secret password that our FOB knows", 20); //20 bytes
// Compute a message digest of codeInterval using our shared secret key
Byte[] hmac = HMAC(secret, codeInterval);
// Pick four bytes out of the hmac array, and convert them into a Int32.
// Use the last four bits of the digest as an index
// to which four bytes we will use to construct our Int32
int startIndex = hmac[19] & 0x0f;
Int32 value = Copy(hmac, startIndex, 4).ToUInt32 & 0x7fffffff;
// The blizzard authenticator shows 8 digits
return String.Format("%.8d", value % 100000000);
// But we could have just as easily returned 6, like RSA FOBs do
return String.Format("%.6d", value % 1000000);
}
Примечание. Любой код выпущен в общедоступном домене. Не требуется атрибуция.
Ответ 4
Вы можете ссылаться на RFC TOTP: Алгоритм одноразового пароля по времени
Как ясно описано в этом, точный алгоритм, используемый в токенах RSA (SecurID), представляет собой TOTP (алгоритм одноразового пароля по времени), алгоритм хеширования.
Семя (возможно, сгенерированное вариантом AES-128) уже было сохранено в токене перед его использованием.