OCRA

OCRA (OATH Challenge-Response Algorithm, RFC 6287  (неопр.).) — алгоритм, объединяющий в себе возможности аутентификации клиента, взаимной аутентификации и подписи транзакций, использующий одноразовые пароли. Является модификацией алгоритма HOTP. Основным отличием OCRA от HOTP является то, что в качестве входных данных используется случайное значение, принятое от сервера, а не счётчик событий.

Сотрудничество OATH разрабатывало алгоритмы аутентификации на базе одноразовых паролей с 2004 года. Из-за стремительного развития мобильной индустрии эти алгоритмы пользовались большой популярностью. В конце 2005 года был опубликован HOTP. Алгоритм HOTP для создания одноразовых паролей использует счётчик, не зависящий от времени. Это позволяет избежать рассинхронизации при большом расстоянии между клиентом и сервером.^[1][2]

OATH в 2008 году представила алгоритм TOTP, являющийся модификацией HOTP.^[3] TOTP для аутентификации генерирует пароль, зависящий от времени, в отличие от HOTP, где пароль создавался на основе счётчика. Этот пароль действителен лишь в течение некоторого временного промежутка. Благодаря этому частично решается проблема рассинхронизации узлов, находящихся далеко друг от друга, при этом нет потери связи из-за случайного или предумышленного сброса счётчиков.^[4]

Осенью 2010 года OATH модифицировала TOTP, представив алгоритм OCRA. Основное его преимущество даёт тот факт, что есть возможность прохождения аутентификации сервером. Алгоритм также способен создавать электронную цифровую подпись, причём сервер также можно аутентифицировать.^[1]

${\displaystyle OCRA=CryptoFunction(K,DataInput)}$

Использованы обозначения:^[5]

• ${\displaystyle CryptoFunction}$ — функция, выполняющая вычисления, используя секретный ключ K и структуру DataInput.

  По умолчанию используется HOTP с шестизначным значением на базе SHA-1 (HOTP-SHA1-6).

  Рекомендуется использовать следующие криптофункции:

  • HOTP-SHA1-4
  • HOTP-SHA1-6
  • HOTP-SHA1-8
  • HOTP-SHA256-6
  • HOTP-SHA512-6

• ${\displaystyle K}$ — секретный ключ, известный обеим сторонам.
• ${\displaystyle DataInput}$ — структура, содержащая набор различных входных данных.

  Параметры DataInput:

  ${\displaystyle DataInput=(OCRASuite|00|C|Q|P|S|T)}$

  Обозначения:

  • ${\displaystyle 00}$ — разделитель.
  • ${\displaystyle C}$ — счётчик длиной в 8 байт, должен быть синхронизирован между обеими сторонами.
  • ${\displaystyle Q}$ — запрос длиной в 128 байт, в случае меньшей длины его нужно дополнить нулями.
  • ${\displaystyle P}$ — это хеш-функция от PIN-кода, который знают клиент и сервер.
  • ${\displaystyle S}$ — строка до 512 байт. Описывает состояние сессии. Длина указана в OCRASuite.
  • ${\displaystyle T}$ — количество прошедших промежутков времени от условной точки отсчёта, за которую принята дата 1 января 1970 года, длина 8 байт. Единицы измерения указаны в OCRASuite.
  • ${\displaystyle OCRASuite}$ — строка, содержащая набор параметров для формирования ответа. Для двусторонней аутентификации и подписи клиент и сервер должны обменяться двумя строками OCRASuite: одна для сервера, другая клиента.

    Структура : ${\displaystyle <Algorithm>:<CryptoFunction>:<DataInput>}$, где:

    • ${\displaystyle Algorithm}$ — указывает версию OCRA. Значение: OCRA-v, где v — это номер версии OCRA (1 или 2).
    • ${\displaystyle CryptoFunction}$ — указывает функцию, которая будет использоваться для вычисления значения OCRA.
    • ${\displaystyle DataInput}$ — отражает список допустимых входов для данного вычисления.

      ${\displaystyle ([C]-QFxx-[PH|Snnn|TG])}$ — параметры DataInput для режима «запрос-ответ».

      ${\displaystyle ([C]-QFxx-[PH|TG])}$ — параметры DataInput для простой подписи.

      В квадратных скобках даны необязательные входы.

      Каждый параметр вычислений описывается одной буквой (кроме Q) и отделяется дефисами.

      • ${\displaystyle Q}$ — указывает на дальнейшее определение формата F. Возможные значения переменной F: A — буквенно-цифровой, N — числовой, H — шестнадцатеричный. Возможная длина xx — от 04 до 64. По умолчанию формат запроса имеет значение N08 (цифровой, длиной в 8 символов).
      • ${\displaystyle P}$ — указывает на последующее определение хеш-функции (H), применяемой к PIN-коду (SHA1, SHA256 или SHA512). По умолчанию SHA1.
      • ${\displaystyle S}$ — говорит об указании длины сессии (nnn). По умолчанию 064.
      • ${\displaystyle T}$ — указание шага времени G. ([1-59]S — количество секунд, [1-59]M — количество минут, [0-48]H — количество часов).

В этом режиме сервер должен отправить случайный запрос клиенту, который, в свою очередь, должен предоставить корректный ответ, чтобы пройти аутентификацию. Обе стороны должны заранее согласовать секретный ключ K.^{[4] [5]}

При этом должны использоваться следующие параметры:^[5]

• C — счетчик, необязательный параметр.
• Q — запрос, обязательный параметр, формируется сервером.
• P — хеш-функция от PIN-кода, необязательный параметр.
• S — состояние сессии, необязательный параметр.
• T — шаг времени, необязательный параметр.

Алгоритм действий:^[5]

1. Сервер посылает запрос Q клиенту.
2. Клиент формирует R = OCRA(K, {[C] | Q | [P | S | T]}) и отсылает на сервер ответ R.
3. Сервер проверяет ответ R. Если ответ корректный, посылает клиенту OK, в противном случае — NOK.

В данном режиме клиент и сервер аутентифицируют друг друга. Клиент посылает случайный запрос серверу, который формирует ответ и отправляет клиенту вместе со своим запросом. Клиент сначала проверяет ответ сервера, чтобы убедиться, что тот корректен. После этого клиент формирует свой ответ и отправляет его серверу. Сервер проверяет ответ клиента и тем самым завершает процесс взаимной аутентификации. Обе стороны должны заранее согласовать секретный ключ K.^{[4] [5]}

Параметры сервера для ответа:^[5]

• C — счетчик, необязательный параметр.
• QC — запрос, обязательный параметр, формируется клиентом.
• QS — запрос, обязательный параметр, формируется сервером.
• S — состояние сессии, необязательный параметр.
• T — шаг времени, необязательный параметр.

Параметры клиента для ответа:^[5]

• C — счетчик, необязательный параметр.
• QS — запрос, обязательный параметр, формируется сервером.
• QC — запрос, обязательный параметр, формируется клиентом.
• P — хеш-функция от PIN-кода, необязательный параметр.
• S — состояние сессии, необязательный параметр.
• T — шаг времени, необязательный параметр.

Алгоритм действий:^[5]

1. Клиент отправляет серверу запрос QC.
2. Сервер формирует RS = OCRA(K, [C] | QC | QS | [S | T]). Отправляет клиенту RS и свой запрос QS.
3. Клиент проверяет ответ сервера и вычисляет свой ответ RC = OCRA(K, [C] | QS | QC | [P | S | T]). Посылает серверу RC.
4. Сервер проверяет ответ клиента и в случае успеха отправляет подтверждение аутентификации.

Сервер должен передать клиенту какое-то значение на подпись. Этим значением может быть, например, информация, которую нужно подписать, или хеш-функция от этой информации. Обе стороны должны заранее согласовать секретный ключ K.^[5]

Используются следующие параметры:^[5]

• C — счетчик, необязательный параметр.
• QS — запрос на подпись, обязательный параметр, формируется сервером.
• P — хеш-функция от PIN-кода, необязательный параметр.
• T — шаг времени, необязательный параметр.

Алгоритм действий:^[5]

1. Сервер посылает запрос Q на подпись клиенту.
2. Клиент формирует SIGN = OCRA(K, [C] | QS | [P | T]) и отсылает на сервер ответ SIGN.
3. Сервер проверяет ответ R. Если ответ корректный, посылает клиенту OK.

В этом случае клиент сначала проверяет подлинность сервера, а уже потом вычисляет и отправляет электронную подпись. Клиент сначала отправляет случайное значение в качестве запроса на сервер, после чего сервер посылает клиенту свой ответ на его запрос и информацию на подпись. Обе стороны должны заранее согласовать секретный ключ K.^[5]

Параметры сервера для ответа:^[5]

• C — счетчик, необязательный параметр.
• QC — запрос, обязательный параметр, формируется клиентом.
• QS — запрос на подпись, обязательный параметр, формируется сервером.
• T — шаг времени, необязательный параметр.

Параметры клиента для ответа:^[5]

• C — счетчик, необязательный параметр.
• QC — запрос, обязательный параметр, формируется клиентом.
• QS — запрос на подпись, обязательный параметр, формируется сервером.
• P — хеш-функция от PIN-кода, необязательный параметр.
• T — шаг времени, необязательный параметр.

Алгоритм действий:^[5]

1. Клиент отправляет серверу запрос QC.
2. Сервер формирует RS = OCRA(K, [C] | QC | QS | [T]). Отправляет клиенту RS и свой запрос QS на подпись.
3. Клиент проверяет ответ сервера и вычисляет свой ответ SIGN = OCRA(K, [C] | QS | QC | [P | T]). Посылает серверу SIGN.
4. Сервер проверяет ответ клиента и в случае успеха отправляет подтверждение аутентификации OK.

• Алгоритм должен поддерживать аутентификацию по методу «запрос-ответ».
• Алгоритм должен поддерживать алгоритм подписи на основе симметричного ключа.
• Алгоритм должен поддерживать аутентификацию сервера.
• Рекомендуется использовать в качестве криптофункции HOTP.
• Рекомендуется длину и формат входного запроса реализовать конфигурируемыми.
• Рекомендуется длину и формат выходного ответа реализовать конфигурируемыми.
• Запрос может быть реализован с возможностью проверки целостности, например, можно использовать биты чётности для простых проверок на ошибки.
• Ключ должен быть уникальным для каждого генератора, и ключ должен быть случайным числом.
• Алгоритм может включать в себя дополнительные атрибуты данных, такие как информация о времени или номере сеанса, которые будут включены в расчёт. Эти данные входы могут использоваться по отдельности или все вместе. ^[5]

Системы аутентификации, построенные на базе одноразовых паролей, являются достаточно надёжными. При этом OCRA обладает рядом преимуществ по сравнению со своими предшественниками, алгоритмами TOTP и HOTP.^[4]

Один из серьёзных методов атаки — подмена сервера аутентификации, что может оказаться эффективным при атаках на TOTP и HOTP. При этом злоумышленник получает данные от пользователя и может использовать их для связи с сервером. Однако в случае алгоритма OCRA, работающего по методу «запрос-ответ», злоумышленник должен выступать в качестве посредника между пользователем и сервером. Злоумышленнику придётся подменять ещё и адрес клиента, чтобы получать данные с сервера и использовать их для связи с клиентом.^[4]

Также алгоритм OCRA может быть реализован устойчивым к атаке, основанной на рассинхронизации таймеров или счётчиков, которой подвержены HOTP и TOTP, так как эти параметры в OCRA можно комбинировать. При введении счётчика отправка повторного сообщения злоумышленником, работающим по методу «человек посередине» (Man-in-the-middle), будет неудачной, так как счётчик на стороне сервера (или клиента, смотря кого пытается сымитировать злоумышленник) изменится и сообщение будет проверяться уже не тем значением, с помощью которого оно создавалось. Можно менять и промежуток времени, в течение которого пароль действителен, в зависимости от расстояния между клиентом и сервером, избегая рассинхронизации.^[4]

Основными конкурентами OCRA среди алгоритмов, работающих по методу «запрос-ответ» являются SCRAM и CHAP. По сравнению с ними, OCRA имеет как преимущества, так и недостатки. Все три алгоритма поддерживают взаимную аутентификацию, но изначально в CHAP эта возможность не задумывалась как важная часть алгоритма. Также в CHAP каждая передача данных осуществляется в виде пакета с указанием предназначения данного пакета, его длины и т. д. Это увеличивает объём пересылаемых данных и может ухудшить работу алгоритма при медленном соединении. Но такая форма сообщений позволяет проводить некоторые дополнительные операции, например, изменение секретного слова, хранящегося и у сервера и у клиента. В OCRA такая возможность отсутствует, алгоритм не поддерживает возможность изменять секрет. В SCRAM у сервера и клиента имеются массивы ключей, защищённые солью. Это позволяет менять ключ при каждом новом сеансе аутентификации. Также в SCRAM есть возможность обнаружения атаки методом «человек посередине». При успешном обнаружении такой атаки связь между клиентом и сервером останавливается. OCRA и SCRAM, в отличие от CHAP, в качестве аргумента криптофункции используют случайное значение, полученное с сервера. OCRA обладает возможностью создания электронной подписи, в то время как в SCRAM с помощью подписи проводится аутентификация. Сервер (клиент) посылает клиенту (серверу) параметры для криптофункции и зашифрованный текст. После этого клиент (сервер) расшифровывает текст, подписывает его и отправляет серверу (клиенту). При подтверждении подлинности подписи аутентификация считается пройденной. OCRA, в отличие от своих конкурентов, обладает возможностью использования счётчиков и таймеров в качестве дополнительной защиты от взлома. ^{[6] [7]}

• Nathan Willis. OATH: yesterday, today, and tomorrow (англ.) // isode.com. — 2010. — 15 December.
• Joann Killeen, Madison Alexander. OATH Submits TOTP: Time-Based One Time Password Specification to IETF (англ.). Архивировано из оригинала 23 января 2013 года.
• Давлетханов Марат. Концепция одноразовых паролей в построении системы аутентификации (рус.) // Byte/Россия : журнал. — 2006-07, 2006-08. — № 7—8 (95).
• Binod Vaidya, Jong Hyuk Park, and Joel J.P.C. Rodrigues. HOTP-Based User Authentication Scheme in Home Networks (англ.) // Lecture Notes in Computer Science^[англ.]. — 2009. — No. 5576. — P. 672—681. Архивировано 4 марта 2016 года.
• RFC 6287 (англ.). — 2011. — ISSN 2070-1721.
• RFC 5802 (англ.). — 2010. — ISSN 2070-1721.
• RFC 1994 (англ.). — 1996.