Cryptography Reference
In-Depth Information
eher von einem Schlüssel) gespeichert. Eine Authentifizierung mit einem OTP-
Token kann wie folgt aussehen (wir gehen davon aus, dass Alice auf ihr Online-
Konto bei der Kryptobank zugreifen will):
1.
Die Kryptobank schickt eine Challenge an Alice. Die Challenge ist in diesem
Fall meist eine Zahl, beispielsweise 475099. Sie wird am Bildschirm ange-
zeigt.
2.
Alice liest die Challenge vom Bildschirm ab und tippt sie in ihr OTP-Token.
Zusätzlich gibt sie eine Geheimnummer ein, die verhindern soll, dass Mal-
lory ein gestohlenes OTP-Token missbrauchen kann.
3.
Das OTP-Token berechnet mit der eingebauten Hashfunktion aus Challenge
und Schlüssel die Response und zeigt diese im Anzeigefeld an.
4.
Alice liest die Response ab und tippt sie in ihren PC ein. Die Response geht
nun an die Kryptobank.
5.
Die Kryptobank (ihr ist der Schlüssel auf dem Token bekannt) überprüft die
Response. Im positiven Fall kann Alice auf ihr Konto zugreifen.
Abb. 21-7
Die SecurID-Karte (links als Schlüsselanhänger, rechts im Scheckkarten-Format) ist ein
OTP-Token.
Das bekannteste und erfolgreichste OTP-Token-Produkt ist die
SecurID-Karte
der Firma RSA Security. In seiner ursprünglichen Version funktioniert dieses
etwas anders als gerade beschrieben. So hat die (ursprüngliche) SecurID-Karte
keine Tastatur und nimmt dementsprechend auch keine Challenge entegegen.
Stattdessen blendet die SecurID-Karte jede Minute eine neue Response ein. Man
kann daher sagen: Die aktuelle Uhrzeit (auf die Minute genau) ist in diesem Fall
die Challenge. Der Chip berechnet die Response jedoch nicht direkt aus der Uhr-
zeit, sondern enthält einen Pseudozufallsgenerator, der von einem Startwert aus-
gehend jede Minute fortgeschaltet wird. Aus dem aktuellen Wert ergibt sich
jeweils die eingeblendete Response. Es versteht sich von selbst, dass der Startwert
für jede SecurID-Karte unterschiedlich sein muss. Wie die Fortschaltfunktion aus-
sieht, wird von RSA Security geheim gehalten.
Neben der Variante ohne Tastatur gibt es inzwischen auch SecurID-Karten
mit einer solchen. Neben RSA Security mischen noch einige andere Anbieter auf
dem lukrativen OTP-Token-Markt mit, beispielsweise Kobil, Secure Computing
und Vasco. Längst werden OTP-Tokens in zahlreichen Variationen angeboten:
