Kann mir jemand in einfachen programmatischen Begriffen erklären, wie diese RSA-Schlüssel-Dongles funktionieren? Ich weiß, dass Blizzard sie für WoW und Paypal sowie für einige der Handelsseiten hat.Wie funktionieren rsa-Schlüsselanhänger?
Danke!
Der Schlüsselanhänger hat eine Uhr und eine Seriennummer, die als Startwert für einen PRNG verwendet wird. Wenn Sie auf die Schaltfläche "Zeig mir einen Code" klicken, zeigt der Schlüsselanhänger eine Nummer an, die das Produkt dieses Zeitstempels ist, und die Seriennummer läuft durch den PRNG. Der Server kennt die Seriennummer und die Uhrzeit Ihres Fobs und führt den gleichen Vorgang aus. Wenn Ihre Codes übereinstimmen, werden Sie authentifiziert.
Sie können die vorherigen/nächsten N-Werte auf dem Serverende berechnen, um die Taktverschiebung zu berücksichtigen.
Programmatische Begriffe sind nicht erforderlich. Stellen Sie sich zwei Hardware-Komponenten vor (Ihren Dongle und etwas im Unternehmen), die in regelmäßigen Abständen dieselben Nummern erzeugen. Es wäre praktisch unmöglich zu erraten, welche Zahl auf einige proprietäre Algorithmen zurückzuführen ist. Wenn also die Zahl, die Sie eingeben (oder automatisch vom Dongle gesendet wird), mit der Nummer auf dem Server übereinstimmt, wird Ihre Identität bestätigt.
Zumindest mit dem Dongle habe ich, müssen Sie auch einen Pin nur von Ihnen und dem Server bekannt geben. Um authentifiziert zu werden, braucht man sowohl etwas Physisches als auch etwas in deinem Kopf. Diese Kombination ist ziemlich schwer zu fälschen. Selbst wenn jemand den Dongle bekommt, außer er kennt Ihren Pin, ist er wertlos. Und wenn sie Ihren Pin kennen, ist diese Information ohne den Dongle wertlos.
Security Now! episode 103 spricht darüber, wie sie funktionieren. (Dieser Link verweist auf die Notizen, aber oben auf der Seite befindet sich ein Link zum Audio-Podcast.)
Im Prinzip wird der Schlüsselanhänger mit einem Server synchronisiert und beide sind so angelegt, dass sie dieselbe Sequenz erzeugen von Pseudozufallszahlen. Der Server weiß, dass Sie es sind, wenn Sie die richtige Nummer zur richtigen Zeit eingeben.
PRNG = Pseudozufallszahlengenerator – joeforker
Der PayPal-Schlüsselanhänger verwendet eine der Ziffern zur Synchronisierung, wodurch der Server eine andere Möglichkeit erhält, den Taktversatz auszugleichen. – joeforker
danke. Ich dachte daran und fügte dann einen Link hinzu; Dein Kommentar hat mich jedoch bis zum Schlag geschlagen. :) –