Wie funktionieren RSA-Token?

Ich würde gerne verstehen, wie RSA-Token (SecurID) arbeiten, was ist der Algorithmus dort verwendet wird, ist es der gleiche Algorithmus wie der normale RSA-Verschlüsselung/- Entschlüsselung ?

Kommentar zu dem Problem
Welche Art von Token? Eine, die in der Lage ist zu unterzeichnen, Daten oder verschlüsseln/entschlüsseln-Taste, oder der SecurID? Kommentarautor: osgx
Ja die SecurID. Kommentarautor: Jau L
Es ist ein standard für solche Authentifikatoren TOTP, aber ich weiß nicht, ob RSA-Token Folgen diesem standard. Kommentarautor: CodesInChaos
Für eine sehr ausführliche Erklärung (wenn auch nicht seeeehr technische) finden Sie unter ais-cur.com/IntrotoSecurID.pdf Kommentarautor: tomasyany
Diese migriert werden sollen, um die Sicherheit stack exchange. Moderator starten! Kommentarautor: Kolob Canyon

InformationsquelleAutor der Frage Jau L | 2011-12-01

  1. 15

    Unter Berufung auf Wiki

    Die RSA SecurID-Authentifizierung-Mechanismus besteht aus einem "token" — entweder hardware (z.B. ein USB-dongle) oder software (soft-token), die zugewiesen wird, um ein computer-Benutzer und erzeugt eine Authentifizierungs-code in festen Intervallen (in der Regel 60 Sekunden) mit einer eingebauten Uhr und der Karte werkseitig kodiert random-Taste (auch bekannt als "seed". Das Saatgut wird für jedes token, und geladen wird in den entsprechenden RSA-SecurID-server (RSA Authentication Manager, ehemals ACE/Server) als Token gekauft werdenEins.

    So ist, hat es vielleicht etwas mit dem RSA-public-key-Algorithmus. Wenig bekannt über das wirkliche Innenleben von SecurID-Token (security by obscurity), aber es gibt einige Analysen, z.B. erste securid-Analyse und mehr an der Unterseite des SecurID-Seite in wikipedia.

    Zudem sind die hardware-Token sind Manipulationssichere so ist es fast unmöglich zu duplizieren gestohlene token.

    UPDATE: Dank eyaler, gibt es keine öffentliche/private Schlüssel in der klassischen SecurID; Sie basiert auf "shared secret", die nicht auf asymmetrischen Algorithmus. Wikipedia sagt, dass die Variante von AES-128 verwendet wird zum generieren von token-codes aus dem geheimen Schlüssel ("seed"). Der geheime Schlüssel ist codiert in Schlüssel in der Fabrik.

    InformationsquelleAutor der Antwort osgx

  2. 11

    Können Sie einen Blick auf, wie es wirklich geschehen zu http://seclists.org/bugtraq/2000/Dec/459

    Der (vereinfachte) Mechanismus ist

    hash = <some initial value>
every x seconds do:
   hash = hashfunction(hash + secret_key)
   print hash

    InformationsquelleAutor der Antwort VolkerK

  3. 7

    Kann ich Ihnen ein Gefühl dafür, wie der Blizzard Mobile Authenticator wurde arbeiten, da Ihre code wurde open-Source. (Archiv)

    In kurzen pseudo-code es ist:

    String GetCurrentFOBValue()
{
   //Calculate the number of intervals since January 1 1970 (in UTC)
   //The Blizzard authenticator rolls over every 30 seconds,
   //so codeInterval is the number of 30 second intervals since January 1 1970.
   //RSA tokens roll over every minute; so your counter can be the number 
   //of 1 minute intervals since January 1, 1970
   //Int64 codeInterval = GetNumberOfIntervals();
   Int64 codeInterval = (DateTime.Now - new DateTime(1970,1,1)).TotalSeconds / 30;

   //Compute the HMAC_SHA1 digest of the code interval, 
   //using some agreed-upon 20-bytes of secret key material.
   //We will generate our 20-bytes of secret key material by
   //using PBKDF2 from a password. 
   //Blizzard's mobile authenticator is given secret key material
   //when it enrolls by fetching it from the web-site.
   Byte[] secret = PBKDF2("Super-secret password that our FOB knows", 20); //20 bytes

   //Compute a message digest of codeInterval using our shared secret key
   Byte[] hmac = HMAC(secret, codeInterval);

   //Pick four bytes out of the hmac array, and convert them into a Int32.
   //Use the last four bits of the digest as an index 
   //to which four bytes we will use to construct our Int32
   int startIndex = hmac[19] & 0x0f;

   Int32 value = Copy(hmac, startIndex, 4).ToUInt32 & 0x7fffffff; 

   //The blizzard authenticator shows 8 digits
   return String.Format("%.8d", value % 100000000);

   //But we could have just as easily returned 6, like RSA FOBs do
   return String.Format("%.6d", value % 1000000);
}

    Hinweis: code in die public domain entlassen. Keine Namensnennung erforderlich.

    InformationsquelleAutor der Antwort Ian Boyd

  4. 0

    Finden Sie in der RFC TOTP: Time-Based One-Time Password-Algorithmus

    So klar beschrieben, dass der genaue Algorithmus verwendet RSA-Token (SecurID) TOTP(Time-Based One-Time Password Algorithm), ein hash-Algorithmus.

    Samen(kann generiert werden durch eine Variante der AES-128) bereits gespeichert ist, die in das token, bevor wir es verwenden.

    InformationsquelleAutor der Antwort kagb

  5. 0

    @VolkerK Antwort links zu C-code beschreibt den Algorithmus für die "64-bit" RSA-Token, die eine im wesentlichen benutzerdefinierten Algorithmus (reversed-engineered ~2000).

    Jedoch, wenn Sie interessiert sind, die der Algorithmus verwendet, durch den modernen "128-bit" - Marken (einschließlich der allgegenwärtigen SID700 hardware Token und gleichwertige soft-Token), dann haben Sie einen Blick auf den Quellcode für stoken, ein open-source-Projekt, das gründlich beschreibt Ihre Funktionsweise; securid_compute_tokencode ist der Haupt-Einstiegspunkt.

    Im wesentlichen der Algorithmus funktioniert wie folgt:

    • Schlüssel generieren aus der aktuellen Uhrzeit und der Seriennummer
    • Mehrfach verschlüsseln, das Geheimnis/das Saatgut mit einer 128-bit-AES -
    • Extrakt Ziffern der dezimalen Darstellung der Ausgangs-und in der PIN für eine gute Maßnahme

    Es ist nicht alles, was Verschieden von dem offenen standard TOTP - Algorithmus (Teil der Initiative Für Open Authentication (Offene Authentifizierung) in der Google-Authenticator, YubiKey, Symantec VIP access, etc. ... nur MOAR SPESHUL UND PROPRIETÄRE für EKSTRA SECURITEH!

    InformationsquelleAutor der Antwort Dan Lenski

Schreibe einen Kommentar