Acasă Securitywatch Criptarea vă păstrează datele în siguranță ... sau nu?

Criptarea vă păstrează datele în siguranță ... sau nu?

Video: Signal Secure Messaging App (Noiembrie 2024)

Video: Signal Secure Messaging App (Noiembrie 2024)
Anonim

În era post-Snowden, mulți oameni au ajuns să creadă că singura cale de a menține confidențialitatea este prin criptarea tuturor. (Ei bine, atâta timp cât criptarea dvs. nu folosește algoritmul RSA defectuos care a dat NSA un backdoor.) O sesiune cu mișcare rapidă la conferința Black Hat 2014 a contestat presupunerea că criptarea este egală cu siguranța. Thomas Ptacek, co-fondator al Matasano Security, a menționat că „nimeni care implementează criptografia nu are dreptate” și a continuat să demonstreze în detaliu acest fapt.

Provocarea Crypto

Această sesiune s-a bazat pe provocarea criptă a lui Matasano, descrisă drept „un exercițiu de învățare etapizat în care participanții au implementat 48 de atacuri diferite împotriva construcțiilor criptografice realiste”. Potrivit Ptacek, peste 10.000 de persoane au participat la provocare.

Cum a început? „Există oameni cu care ajung să mă cert pe Twitter”, a spus Ptacek. "Vreau să împărtășesc cunoștințe despre cripto, dar nu vreau să îi înarm pe acei oameni cu jargonul meu." Aceasta a fost originea provocării. Cercetătorii Matasano au creat șase seturi de opt provocări. Pentru a finaliza un set, trebuie să implementați cu succes toate cele opt provocări folosind limbajul de programare ales. După ce finalizați cu succes un set, acestea vă vor trimite următorul. „Pentru a obține jargonul, trebuie să codați”, a explicat Ptacek.

Etapa a VIII-a Matematică obligatorie

S-ar putea să vă așteptați că implementarea și fisurarea diferitelor tipuri de criptografie ar necesita cunoaștere detaliată a disciplinelor matematice arcane. Ptaceklisted cinci subiecte de ultimă generație, printre care „câmpuri, seturi și inele” și „structura rețelei Feistel și SP”. El a continuat să explice că nu este necesar niciunul dintre ei. Majoritatea provocărilor necesită puțin mai mult decât algebra liceului și unele cunoștințe de codificare.

Cei care au luat provocarea și-au prezentat munca într-o varietate amețitoare de limbaje de programare. Unii chiar au ieșit din afara programului de programare. Un participant a trimis o soluție codificată ca o simplă foaie de calcul Excel. Un altul a rezolvat una dintre provocările folosind PostScript.

"Va fi o mulțime de detalii în această discuție și vom vorbi repede", a spus Ptacek. "Nu vei ieși din asta știind să exploatezi RSA, dar îți pot arăta cât de simplu este. Lasă matematica să se spele peste tine, ca poezia nesiguranței." Îmi place asta!

Pentru Err este om

Prezentarea a continuat să examineze unele erori criptografice specifice și bine documentate. O companie a rezolvat problema eficienței criptării prin setarea unui parametru esențial la unul, doar unul. Cryptocat, cunoscut de Edward Snowden, nu a mers chiar atât de departe, dar prin modificarea codului pentru eficiență, dezvoltatorii au redus cu mult resursele necesare pentru a fisura mesajele criptate. Și da, algoritmul Cryptocat s-a aflat cel mai rău între mai 2012 și iunie 2013.

După un moment, sesiunea a devenit într-adevăr destul de tehnică. Aproape am reușit să înțeleg o tehnică inteligentă pe care oamenii de Matasano au conceput-o pentru a sparge cardurile de credit criptate prin RSA. A implicat trimiterea numerelor atent selectate pe serverul de criptare ca și cum ar fi date criptate și notarea reacției. Fiecare număr acceptat ca fiind valid i-a adus mai aproape de decriptarea textului și, de asemenea, a redus gama de numere pentru următoarea încercare. Demo-ul rezultat a fost o versiune clasică în stil de filmare a criptării cracare, literele sub formă de text care apar una câte una ca octeți binari defilați.

Vei lua provocarea?

Dacă doriți să faceți provocarea crypto, trimiteți o notă la [email protected]. Rețineți că norma strictă pentru seturi de provocări a fost suspendată. Acum puteți obține toate seturile simultan. Într-un anunț înainte de discuție, Ptacekexplapla a spus că "Spunem o discuție despre provocările de la Black Hat și dorim ca criptopalii noștri fideli să vadă toate provocările înainte ca tichetele negre ale Hat Hat să le facă". Pe viitor, echipa Matasano planifică un site web dedicat provocărilor și chiar o carte.

Poate că nu ești echipat pentru a-ți asuma provocarea, dar lecția este încă clară. De fiecare dată când presupunem că o anumită soluție este totul și totul este final, vom fi dovediți greșit. Ceea ce poate face o persoană, alta poate rupe.

Criptarea vă păstrează datele în siguranță ... sau nu?