SmartOTPs: An Air-Gapped 2-Factor Authentication for Smart-Contract Wallets

• https://dl.acm.org/doi/epdf/10.1145/3419614.3423257

cryptocurrency wallets, smart contracts, 2-factor authentication, Merkle tree, one-time passwords, post-quantum computing

S nedávným nárůstem kryptoměn se bezpečnost a správa kryptoměn staly kritickými. Byli jsme svědky mnoha útoků na uživatele, jejich software nebo poskytovatele, které vedly k významným finančním ztrátám. K nápravě těchto problémů bylo navrženo mnoho řešení peněženky. Tato řešení však často postrádají základní bezpečnostní funkce, použitelnost nebo neumožňují uživatelům přizpůsobit si svá výdajová pravidla. V tomto příspěvku navrhujeme SmartOTPs, kryptoměnovou peněženku využivající smart kontrakt, který poskytuje flexibilní, použitelný a bezpečný způsob správy kryptoměn samostatným způsobem. Navrhovaná práce se skládá ze čtyř komponent (tj. Autentizátoru, klienta, hardwarové peněženky a smart kontraktu) a poskytuje dvoufaktorovou autentizaci (2FA) prováděnou ve dvou fázích interakce s blockchainem. Pokud je nám známo, náše práće je první v prostředí veřejného blockchainu používájící jednorázová hesla (OTP). OTP jsou agregovány Merklovým stromem a hashovacími řetězci takovým způsobem, že pro každé ověřování je z autentizátoru na klienta přenesen pouze krátký OTP (např. 16B dlouhý). Takové nové nastavení nám umožňuje vytvořit autentizátor s plnou vzduchovou mezerou využívající malé QR kódy nebo několik kratkých slov, přičemž navíc nabízí odolnost proti kvantové kryptanalýze. Na platformě Ethereum jsme vytvořili proof-of-concept. Naše analýza nákladů ukazuje, že průměrné náklady na operaci přenosu jsou srovnatelné se stávajícími řešeními 2FA využívajícími inteligentní smlouvy s více podpisy.