HOTP在未加密通道上控制执行器的安全性

Question

我有一个简单的开关执行器，我想要远程控制。我想使用可用的硬件:一对微控制器连接到一对无线收发器模块。

HOTP算法能安全地在未加密的信道上使用吗？

Answer 1

HOTP算法能安全地在未加密的信道上使用吗？

是的，

实质上，HOTP是一个有状态函数，它保留一个内部计数器，然后在该计数器上计算一个HMAC，然后进行一些截断以获得正确的格式。在此过程中，计数器也是递增的。

因此，假设我们可以建模HMAC作为PRF，那么每个HOTP查询的输出都是新的随机和无关的，因为这就是随机函数对不同的输入所做的事情(这是HMAC的行为方式，因为它是一个PRF)。这尤其意味着对手无法预测未来的HMAC输出或过去看不见的输出。

当然，唯一的保证就是对手不能预测新的身份验证令牌，而且新的令牌很可能不再有效。特别是，HOTP本身并不能保护您免受诸如中继攻击或攻击的攻击，在这些攻击中，对手会缓冲令牌，并在更方便的时间发送它。