-
-
[求助]基于时间的一次性认证标准TOTP中,密钥是怎么分发指定的?
-
发表于:
2013-1-5 21:15
5464
-
[求助]基于时间的一次性认证标准TOTP中,密钥是怎么分发指定的?
如题,TOTP就不解释了。
最近在看One Time Password,感觉中行口令牌、QQ手机口令牌、支付宝手机令牌这些都是用的TOTP,至少是类似功能的吧。
根据RFC相关文件,
TOTP = Truncate(HMAC-SHA-1(K, (T - T0) / X))
其中K和T0应该是Server一开始就向Client指定好了的。
那么,这个K是如何指定的呢?
大家应该都认可,信息的安全应该是不依赖算法保密的。即在公开算法的前提下保证安全。
那么,比如中行口令牌上有序列号,如果K是根据序列号计算或散列出来的,那么别人拿到这个口令牌,记下序列号,就相当于掌握了这个口令牌。
同理,手机口令牌也是,如果根据手机号、手机序列号等信息散列出来,也是应该认为不安全的。
但是又不像每个口令牌都在制作过程中输入了不同的密钥K。比如Android手机口令牌,大家都是下载的同样的APK软件。
嗯,所以,大家有知道的吗?K是怎么协商的?
[课程]Android-CTF解题方法汇总!
