▣ OTP_동기식, 시간(이벤트) 동기화, 비동기식, 도전 응답 방식, S/Key 방식
구분 | 동기식 OTP | 비동기식 OTP |
동작 | 미리 정한 고정된 시간간격 주기로 새로운 난수값을 생성하여 사용자와 서버는 패스워드를 공유함 | 서버는 난수를 발생하여 시도값으로 사용자에게 전달하고 사용자는 시도값을 암호화하여 서버에 응답값으로 전달 |
매커니즘 | 시간 또는 이벤트 동기화 | 도전(시도)-응답방식(challenge-response) |
장점 | 속도 빠름(간단한 절차) | 안전성이 매우 높음(양방향 인증) |
단점 | 사용자-> 서버 단방향 인증 | 복잡한 절차를 통한 인증으로 속도 느림 |
2021년 102번
정답 : 3번
도전-응답방식(비동기식)에 대한 설명임
서버는 난수를 발생하여 시도값으로 사용자에게 전달하고 사용자는 시도값을 암호화하여 서버에 응답값으로 전달
* S/Key 방식은 공중망을 통해 원격 시스템에 로그인할 때 중간에서 패킷을 스니핑해 재사용하는 재사용 공격을 방지하는 간단한 시스템으로 매번 패스워드가 바뀌는 방식이기 때문에 고전적인 OTP 방식이라고 할 수 있음
S/Key는 암호 알고리즘의 일종인 해쉬 함수(Hash function)을 이용하는 방식으로 사용하기에 간단하고 어떤 비밀 정보도 호스트에 남지 않기 때문에 안전한 시스템임
S/KEY방식은벨 연구소(Bell Lab.)에서 개발한 OTP구현방식으로 유닉스 계열 운영체제의 인증에 사용됨
클라이언트가 생성한 난수값을 서버에 전송한 뒤 해당 난수값을 입력값으로 해쉬값을 생성함
해시체인(Hash Chain)방식으로 계속해서 다수의 해시값을 만들고, 인증을 수행 시 최초 해시값부터 차례로 하나씩 사용하는 OTP 방식임
인증을 여러 번 수행하게 되면 해쉬 함수 적용 가능 회수가 하나씩 줄어들게 되므로 어느 시점에 다다르면 패스워드를 재초기화 시켜 줘야 하는 불편이 있으나, PC 등에서 저장해 놓거나 미리 계산해 놓은 후에 사용할 수 있다는 장점을 가지고 있음
2017년 101번
정답 : 1번
* S/Key 방식은 공중망을 통해 원격 시스템에 로그인할 때 중간에서 패킷을 스니핑해 재사용하는 재사용 공격을 방지하는 간단한 시스템으로 매번 패스워드가 바뀌는 방식이기 때문에 고전적인 OTP 방식이라고 할 수 있음
S/Key는 암호 알고리즘의 일종인 해쉬 함수(Hash function)을 이용하는 방식으로 사용하기에 간단하고 어떤 비밀 정보도 호스트에 남지 않기 때문에 안전한 시스템임
S/KEY방식은벨 연구소(Bell Lab.)에서 개발한 OTP구현방식으로 유닉스 계열 운영체제의 인증에 사용됨
클라이언트가 생성한 난수값을 서버에 전송한 뒤 해당 난수값을 입력값으로 해쉬값을 생성함
해시체인(Hash Chain)방식으로 계속해서 다수의 해시값을 만들고, 인증을 수행 시 최초 해시값부터 차례로 하나씩 사용하는 OTP 방식임
인증을 여러 번 수행하게 되면 해쉬 함수 적용 가능 회수가 하나씩 줄어들게 되므로 어느 시점에 다다르면 패스워드를 재초기화 시켜 줘야 하는 불편이 있으나, PC 등에서 저장해 놓거나 미리 계산해 놓은 후에 사용할 수 있다는 장점을 가지고 있음
도전-응답방식(비동기식)에 대한 설명임
서버는 난수를 발생하여 시도값으로 사용자에게 전달하고 사용자는 시도값을 암호화하여 서버에 응답값으로 전달