Коды TOTP для обнаружения имперсонаторов
В блоге Шнайера описание ещё одной попытки создания протокола (предлагает протокол не Шнайер), позволяющего отличить “цифрового двойника” (имперсонатора) от реальной персоны – используется TOTP (это одноразовые коды, базирующиеся на общем секрете и на значении времени в локальных часах): то есть, пользователи, реальные персоны, которые имеют копии общего секрета, при голосовом вызове или при вызове по видеосвязи, когда звонящий представляется одним из этих пользователей, должны дополнительно затребовать и сравнить актуальные ключи, генерируемые TOTP. Ключи предлагается вычислять при помощи смартфона, на котором работает приложение. Понятно, что здесь аутентифицируется не пользователь, а приложение на смартфоне и/или сам смартфон – это вообще традиционная ошибка, когда персону-пользователя переводят в смартфон.
Нельзя сказать, что решение совсем бесполезное, но с ним есть традиционные для чисто технических схем, кажущихся простыми, проблемы. Это существенные проблемы, и они далеко не в том, что смартфон может быть захвачен или взломан, а код может быть подсмотрен (нет, код подсматривается у атакуемого пользователя, потому что, как бы, в этом и смысл). Знание верного кода из приложения, несомненно, сразу завоевывает доверие. Но и незнание, при должной интерпретации, сильно помогает, поскольку протокол, – досадно “не работающий”, – тут же создаёт общий контекст, в самом начале разговора.
Дело в том, что “цифровой двойник” может прямо утверждать, что он не двойник никакой, а настоящий, но потерял смартфон, поэтому и не может получить код. Или часы в смартфоне “поломались”, ушли вперёд “и такой вот код”. Заметьте, что очень многие схемы манипуляции и введения в заблуждение именно такой момент и используют в качестве опорного при установлении “контакта” с атакуемым: “потерял ключ”, “пёс сожрал пропуск и другие документы”, “кормила чайку и смартфон уронила в пруд”, “забыла, где именно машина на парковке”, ну и так далее. Тут можно ещё заметить, что протокол требует предоставления кода вызывающей стороной, но направление вызова можно регулировать, используя промежуточные звенья: “Наш общий знакомый Имярек срочно просит ему немедленно же перезвонить!”. Естественно, успехи компьютерных технологий позволяют “цифрового двойника” установить в качестве “прокси” между реальными персонами, чтобы получить актуальный код в нужный момент. Так что не ясно, сильно ли TOTP-приложение помогает, на фоне кодов из SMS.
Адрес записки: https://dxdt.ru/2025/02/10/15026/
Похожие записки:
- Целевая подмена приложений и "прокси" для утечек
- Построение CVE-2025-0282 в Ivanti Connect Secure
- Kyber768 и TLS-серверы Google
- Новые криптосистемы на тестовом сервере TLS 1.3
- Сертификаты для IP-адресов от Let's Encrypt
- Сервис проверки настроек веб-узлов
- Техническое: один практический пример ошибочных настроек DNS
- Быстрая факторизация и постквантовые алгоритмы
- Обновление описания TLS
- IP-адреса на разных уровнях восприятия
- TLS: выбор сертификата по УЦ в зависимости от браузера
Кратко этот сайт характеризуется так: здесь можно узнать про технологический прогресс, Интернет, математику, криптографию, авиацию, компьютеры, авиационные компьютеры, вооружения, роботов, вооружение роботов, армии мира, астрономию, космические исследования. И иногда о чём-то ещё (
Комментарии читателей блога: 2
1 <t> // 10th February 2025, 21:55 // Читатель SunChaser написал:
Направление вызова фиксится просьбой назвать код обратно. Можно иметь 2 кода A -> B и B -> A, можно просто попросить следующий код
2 <t> // 11th February 2025, 10:13 // Александр Венедюхин:
Замена направления, кстати, помогает в “проксировании”. Так-то, да, протокол можно улучшить, главное, чтобы добавление шагов не добавило проблем.
Написать комментарий