Uwierzytelnianie dwuskładnikowe bez czasu. To szansa na zabezpieczenie milionów urządzeń
Uwierzytelnianie dwuskładnikowe to obecnie złoty standard zabezpieczeń stosowany w bankowości, poczcie elektronicznej, serwisach społecznościowych i wielu innych miejscach. Naukowcy z Sandia National Laboratories opracowali właśnie prostszą i bardziej efektywną metodę dwustopniowego uwierzytelniania, w której generowanie i przesyłanie tymczasowego kodu nie jest zależne od czasu. Metoda ta pozwoli na zabezpieczenie wielu urządzeń – jak drony, zdalne czujniki, sprzęt rolniczy czy systemy kontroli przemysłowej – które obecnie nie korzystają z uwierzytelniania dwustopniowego.
Ten rodzaj zabezpieczenia wymaga użycia zarówno hasła, jak i tymczasowego kodu, wysyłanego SMS-em, e-mailem lub przez aplikację uwierzytelniającą. Kod taki generowany jest na podstawie aktualnego czasu, czy to czasu serwera – jak robią to np. banki – czy z czasu GPS. Uzyskiwanie takich kodów może wydawać się proste, jednak w rzeczywistości wymaga ono zrealizowania złożonego zestawu instrukcji. Jakby tego było mało, niejednokrotnie nie jest to wymiana danych jedynie pomiędzy dwiema stronami. Na przykład banki korzystają z usług firm trzecich, które z kolei używają sieci udostępnianych przez operatorów telefonii komórkowej. Tymczasem wiele urządzeń nie posiada wystarczającej mocy obliczeniowej, dostatecznie szybkiego połączenia z siecią lub dostępu do GPS, nie może więc korzystać z uwierzytelniania dwuskładnikowego. Z problemem tym poradził sobie Chris Jenkins i jego koledzy z Sandia Labs.
Pierwotnym celem Jenkinsa było zabezpieczenie systemów uzbrojenia znajdujących się w odległych lokalizacjach, które mogą utracić dostęp do danych GPS. Opracował system zabezpieczający systemy w samolotach wojskowych. Wiele samolotów do wymiany danych pomiędzy poszczególnymi podzespołami korzysta z dość prostych systemów komunikacji. Ekspert z Sandia chciał je zabezpieczyć. Gdy już się to udało, wraz z zespołem stwierdził, że warto spróbować przebudować stworzony przez siebie mechanizm na potrzeby cywilne. I tak powstał mechanizm dwuskładnikowego uwierzytelniania, który nie opiera się na czasie, nie wymaga połączenia z GPS i w niewielkim stopniu obciąża procesor. Ponadto działa bezpośrednio pomiędzy dwiema stronami transakcji, bez potrzeby angażowania pośredników i korzystania z rozbudowanej infrastruktury IT. A to oznacza, że z nowego mechanizmu mogą korzystać niewielkie urządzenia o małej mocy obliczeniowej, które połączone są z siecią podatną na częste awarie czy opóźnienia.
Komentarze (6)
radar, 7 sierpnia 2025, 15:23
No, muszę przyznać, że fajnie to działa...
... a szczególnie ta część, co robi teges i zabezpiecza
!!!!!!!!???????!!!!!!!!!
https://newsreleases.sandia.gov/two-factor-authentication-just-got-easier/
Mariusz Błoński, 7 sierpnia 2025, 19:56
Znaczy rzeczywiście takie dobre?
thikim, 7 sierpnia 2025, 20:10
No ale tu nigdzie nie pisze jak to działa.
Piszą że nie wykorzystuje czasu ani GPS. To co? Czary?
radar, 7 sierpnia 2025, 21:06
Otóż to
Za to w publikacji już coś pisze.
Zwykłe challenge-response, ale z bardziej energooszczędnym algorytmem, nadającym się pod IoT bardziej niz AES. Taki trochę odpowiednik pestki RFID przy domofonie. "Tajny" klucz szyfrujący na obu urządzeniach musi być i tyle.
Nie mniej jednak, w urządzeniach i tak nie szybko się to pojawi, bo bez zmiany firmware nici. Także jakbyś chciał zabezpieczyć swój router to np. wgrywasz firmware OpenWRT, odpowiednią bibliotekę, np. google-authenticator-libpam, instalujesz google authenticator na telefonie i masz. W innym przypadku lipa.
Także taka to "nowość", że żadna, ale algorytm ponoć lepszy.
l_smolinski, 8 godz. temu
AES też się świetnie nadaje. Można zmniejszyć liczbę cykli szyfrujących w ramach AES (zwiększyć energooszczędność kosztem bezpieczeństwa). Bo tu się rozchodzi o stosunek złożoności obliczeniowej do zapewnianego bezpieczeństwa. Więc tak naprawdę w artykule ponownie odkrywają Amerykę jakoby tajny klucz i w cale nie lżejszy algorytm miały być jakimś odkryciem naukowym.
l_smolinski, 6 godz. temu
Ok pomęczyłem AI aby mi wykonało analizy robiąc moje warianty i korzystając z moich spostrzeżeni podpowiedzi dla wariantów. Wersje skróconą umieściłem tutaj:
https://polandthoughts.blogspot.com/2025/08/porownanie-3des-aes-i-ascon-analiza.html
Wniosek końcowy. Dokładając dodatkowy klucz i operacje xor dla 3DES uzyskujemy identyczny rezultat niż w proponowanym algorytmie z publikacji. Tyle wychodzi z tego pieprzenia świata naukowego. Zaorani przez AI wspomaganym specjalistą w danym zakresie (czyli mnie) w 2 godziny. Nazwę się butnie specjalistą bo sam kiedyś podobne publikacje robiłem. Stare dzieje:
https://yadda.icm.edu.pl/baztech/element/bwmeta1.element.baztech-article-BPG8-0042-0003