respuesta estática vs dinámica vs desafío

Advertencia: la terminología es un poco confusa, por lo que no puede haber una respuesta completamente autorizada y clara.

Un protocolo de autenticación estático significa que el dispositivo que realiza la autenticación no computa nada. Si incorpora algún valor secreto, pero puede, en el mejor de los casos, mostrarlo. El usuario humano, cuando escribe su contraseña en una página de inicio de sesión o interfaz, es un dispositivo de autenticación estática. La tarjeta inteligente más pequeña, más tonta y más barata hace lo mismo: después de haber sido debidamente desbloqueada (los usuarios escribieron su código PIN), la tarjeta emite un valor secreto siempre igual.

Un protocolo de autenticación dinámico es lo opuesto: el dispositivo calcula las cosas. Hay muchos tipos y subtipos de protocolos de autenticación dinámica:

• El protocolo puede ser un desafío-respuesta : el sistema que ejecuta la autenticación envía un desafío , por ejemplo. una secuencia aleatoria de bytes, a la que el dispositivo responde mediante el cálculo de una función criptográfica que utiliza tanto el desafío como los datos secretos contenidos en el dispositivo. La función criptográfica puede ser, por ejemplo, un MAC que el dispositivo computa sobre el desafío, con el secreto como clave; el sistema de autenticación verificará que MAC (este escenario supone que el valor secreto es conocido tanto para la tarjeta inteligente como para el sistema de autenticación). Otro tipo de desafío-respuesta se basa en firmas digitales : esto requiere cálculos más pesados (por lo tanto, una tarjeta inteligente menos barata) pero significa que el servidor de autenticación no necesita conocer el valor secreto que se incluye en la tarjeta inteligente.

• Algunas tarjetas generan contraseñas de un solo uso . Esto se puede ver como un protocolo de desafío-respuesta en el que el servidor no envía el desafío, sino que es un valor que siempre se conoce públicamente (por ejemplo, un contador, como en HOTP , o la hora actual, como en TOTP ). tokens RSA SecurID son de ese tipo. Los dispositivos que utilizan ese tipo de protocolo deben mantener algún estado permanente que resista los reinicios (por ejemplo, un reloj interno con batería o un valor de contador almacenado en EEPROM); pero son más fáciles de integrar en los sistemas existentes (como con los tokens RSA SecurID, el usuario solo tiene que escribir lo que se muestra en su token; no tiene que conectar el token en su máquina de escritorio).

Publicación NIST 800-12 explica

  

Hay muchos protocolos posibles que un token inteligente puede usar para la autenticación. En general, se pueden dividir en tres categorías: intercambio estático de contraseñas, generadores dinámicos de contraseñas y desafío-respuesta.

     

Los tokens estáticos funcionan de manera similar a los tokens de memoria, excepto que los usuarios se autentican en el token y luego el token autentica al usuario en la computadora.

     

Un token que usa un protocolo de generador de contraseña dinámico crea un valor único, por ejemplo, un número de ocho dígitos, que cambia periódicamente (por ejemplo, cada minuto). Si el token tiene una interfaz manual, el usuario simplemente lee el valor actual y luego lo escribe en el sistema informático para la autenticación. Si el token tiene una interfaz electrónica, la transferencia se realiza automáticamente. Si se proporciona el valor correcto, se permite el inicio de sesión y al usuario se le otorga acceso al sistema.

     

Los tokens que usan un protocolo de desafío-respuesta funcionan al hacer que la computadora genere un desafío, como una cadena aleatoria de números. El token inteligente genera una respuesta basada en el desafío. Esto se envía de vuelta a la computadora, que autentica al usuario según la respuesta. El protocolo de desafío-respuesta se basa en la criptografía. Los tokens de respuesta-desafío pueden usar interfaces electrónicas o manuales.

Un buen ejemplo de token de contraseña de desafío-respuesta se muestra en el diagrama a continuación, tomado del página del autenticador Gold OTP :