Khám phá Timebased OTP
Bạn đã bao giờ tự hỏi Google Authenticator hoạt động như thế nào chưa? Hoặc từng thắc mắc làm thế nào ngân hàng có thể sử dụng token để tạo mật khẩu (mật khẩu này thay đổi liên tục theo thời gian) và người dùng có thể sử dụng mật khẩu này để đăng nhập vào hệ thống ngân hàng. Điều bí ẩn là token này là một thiết bị cực nhỏ, tiêu thụ rất ít điện năng và không có kết nối internet, làm sao thiết bị này có thể tạo ra mật khẩu có thể được xác thực bởi hệ thống máy chủ ngân hàng (làm sao ngân hàng có thể xác thực được loại mật khẩu này)?
Trong bài viết này, mình sẽ giải thích cơ chế hoạt động của Timebased OTP, cũng là nguyên tắc cốt lõi của dạng mật khẩu hiện thực hóa các hệ thống 2FA (Two Factor Authentication). Tuy nhiên để đơn giản hóa, mình sẽ giản lược bớt các chi tiết kỹ thuật chi tiết mà chỉ chú trọng vào luồng chính để các bạn tiện hình dung và theo dõi cho nên sẽ không match 100% so với thực tế.
Sơ đồ hoạt động
Mô tả
Máy chủ tạo số S ngẫu nhiên cho mỗi người dùng.
Người dùng sẽ lưu trữ S trong ứng dụng di động của mình dưới dạng giá trị bí mật.
Đối với Google Authenticator, việc này được thực hiện thông qua việc quét QRCode
Đối với token ngân hàng, số này sẽ được thiết lập cho từng người dùng cụ thể mỗi lần cấp phát cho người dùng.
Trên thiết bị của khách hàng (Mobile App hoặc token) sẽ có đồng hồ được kích hoạt và máy chủ sẽ ghi nhận thời gian này là T0.
Sau mỗi khoảng thời gian T (thông thường là 30 giây), mật khẩu mới Px sẽ được tạo
Demo
Chi tiết thuật toán
Quy trình tạo password (Lưu ý rằng các tính toán ở đây được mình cố tình chọn các số đơn giản, trong thực tế thì không đơn giản như vậy để tăng tính bảo mật)
Tại thời điểm , một password sẽ được tạo ra nhờ vào giá trị bí mật và một biến đếm thời gian . sẽ được update tăng dần theo mỗi khoảng thời gian thường là 15s-30s, và được tính như sau:
Lúc đó, sẽ được tính bởi: . Lưu ý là giá trị là một số được chọn để đảm bảo password được tạo ra giới hạn giá trị giới hạn trong 6 chữ số. (again, đây là một công thức mình dùng để đơn giản hóa tính toán chứ không phải dùng trong thực tế nhé)
More from Cryptography & Blockchain
- Scalable Distributed Verifiable RNG
- Verifiable Random Function (VRF) và một ví dụ đơn giản
- Multi Party Computing với đồng cấu Paillier
- Lattice-based Post-Quantum Cryptography - Hệ mật mã hậu lượng tử trên dàn
- Thuật toán Euclide mở rộng
- Shamir's Secret Sharing: Kho báu của tên cướp và Alibaba
- ECDSA - Chữ ký số trên đường cong elliptic
- Elliptic Curve trên Trường Hữu Hạn
- Thuật toán AKS - Kiểm tra số nguyên tố thời gian đa thức
- RSA - Kỹ thuật mã hóa khóa công khai
- Miller-Rabin Primality Test
- Chữ ký số trong hệ RSA
- ZKP - Giới thiệu đơn giản về Chứng minh Không Để Lộ Tri Thức
- Quadratic Arithmetic Program (QAP) - Interactive Demo
- Rank-1 Constraint System (R1CS) - Interactive Demo
- Fiat-Shamir Heuristic - Mô hình Non Interactive ZK đơn giản
- Diffie-Hellman Key Exchange - Giao thức trao đổi khóa
- Bloom Filter
- Elliptic curve trên trường số thực
- Zero Knowledge Proof với KZG commitment scheme
- Một vài chú giải về "The Tuyen Optimization"
- Proof-Of-Work Concensus Demo
- Merkle Tree
Comments
No comments yet. Be the first to comment!