从开发人员的角度来看，硬件OTP是如何工作的？

Question

我最近偶然发现了提供PKI和OTP功能的Gemalto IDPrime MD系列智能卡(我知道密钥管理/生成和面向用户的使用方面的不同)。

现在我四处搜寻，发现这个问题没有令人满意的答案：

• 所有(标准的)硬件OTP令牌是否要求开发人员将OTP传递给制造商的服务器进行验证？
• 如果OTP令牌(例如智能卡)不具有USB连接或显示功能，那么一次性密码通常如何移动到用户？通过直接的API访问？通过新窗户？通过一个非个人电脑连接的读卡器？

顺便提一句:我不包括专门为大公司制造的OTP令牌，因为它们显然是由公司已知的秘密/定制的公司制造的。

另外，请注意:如果令牌具有显示(如RSA SecurID)，用户只需使用键盘读取并手动输入OTP，而如果令牌具有直接的USB连接(如YubiKey)，则令牌只需模拟键盘并自行键入即可。

Answer 1

你可能对阅读感兴趣：

• 一种基于HMAC的一次性密码算法(RFC 4226)
• 基于时间的一次性密码算法(RFC 6238)

它们都描述了创建一次性密码的标准方法。

所有(标准的)硬件OTP令牌是否要求开发人员将OTP传递给制造商的服务器进行验证？

这里有两种选择：

• OTP令牌是特定于您的应用程序的，您要么制造自己的硬件令牌，用自己的秘密闪现他人制造的令牌，要么向制造商购买令牌(这将为您的令牌(S)提供一个带有密钥的文件)，在这种情况下，在运行期间不需要与制造商通信。

但是，如果制造商将OTP令牌作为多个实体(如YubiCloud)的服务提供，那么是的，应用程序需要每次向制造商服务器询问给定的OTP令牌是否有效。

假设您有一种在没有中央注册表的情况下验证令牌的方法，可能是因为令牌具有嵌入式签名，因此可以使用与设备关联的公钥进行检查)。然后，当您试图登录到网站A时，它可以复制您的令牌，并在网站B中冒充您。

(U2F旨在通过包含一个挑战来避免这个问题，但它不再是一个简单的OTP令牌)

如果OTP令牌(例如智能卡)不具有USB连接或显示功能，那么一次性密码如何移动到用户？通过直接的API访问？通过新窗户？通过一个非个人电脑连接的读卡器？

智能卡通常会通过USB读卡器转移给用户，尽管任何将gap -such作为你建议的独立屏幕的读卡器的设备实际上都能工作。

Answer 2

如您在另一篇文章中所述：

不是的。您不需要将OTP值传递给制造商站点。通常--如果你在中国(比如飞天)购买纯粹的誓约/HOTP代币，你甚至无法做到这一点。您需要像privacyIDEA那样运行自己的服务器。

智能卡通常不是OTP令牌。然而，一些智能卡，如来自Gemalto，确实有一个OTP应用程序。在这种情况下，您需要将智能卡插入到智能卡读取器中，并且您需要在客户端上有一个额外的应用程序。此应用程序将与智能卡通信以检索OTP值。