Шифроването пази данните ви в безопасност ... или го прави?

В ерата след Сноудън много хора са повярвали, че единственият начин за поддържане на личния живот е чрез криптиране на всичко. (Е, стига криптирането ви да не използва дефектния RSA алгоритъм, който даде на NSA заден прозорец.) Бързо преминаващата сесия на конференцията на Black Hat 2014 оспори предположението, че криптирането се равнява на безопасността. Томас Птачек, съосновател на Matasano Security, отбеляза, че "никой, който прилага криптография, не го разбира напълно", и продължи да демонстрира подробно този факт.

Крипто предизвикателството

Тази сесия беше базирана на крипто предизвикателството на Матасано, описано като „поетапно учебно упражнение, при което участниците осъществиха 48 различни атаки срещу реалистични криптографски конструкции“. Според Птачек в предизвикателството са участвали над 10 000 души.

Как започна? „Има хора, с които аз в крайна сметка споря в Twitter“, каза Птачек. „Искам да споделя криптовалута, но не искам да въоръжавам тези хора с жаргона си.“ Това беше началото на предизвикателството. Изследователите на Матасано създадоха шест групи от осем предизвикателства. За да завършите набор, трябва успешно да приложите всички осем предизвикателства, използвайки избрания от вас език за програмиране. След като успешно завършите един комплект, той ще ви изпрати следващия. "За да получите жаргона, трябва да кодирате", обясни Птачек.

Необходима е математика за осми класове

Може да очаквате, че прилагането и разбиването на различни видове криптография ще изисква подробни познания за тайнствените математически дисциплини. Ptaceklisted пет теми от висок клас, сред които "полета, набори и пръстени" и "Feistel и SP мрежова структура". Той продължи да обяснява, че никой от тях не се изисква. Повечето предизвикателства изискват малко повече от среднообразователната алгебра и известни познания по кодирането.

Тези, които поемат предизвикателството, изпратиха работата си на главозамайващо разнообразие от програмни езици. Някои дори излязоха извън сферата на програмирането. Един участник представи решение, кодирано като обикновена електронна таблица в Excel. Друго реши едно от предизвикателствата, използвайки PostScript.

"Ще има много подробности в тази беседа и ще говорим бързо", каза Птачек. "Няма да излезете от това знаейки как да експлоатирате RSA, но мога да ви покажа колко е прям. Просто оставете математиката да ви мие като поезията на несигурността." Харесва ми!

Да грешиш е човек

Презентацията продължи да разгледа някои специфични и добре документирани криптографски пропуски. Една компания реши проблема с ефективността на криптирането, като зададе съществен параметър на един, само един. Cryptocat, известен с помощта на Едуард Сноудън, не стигна толкова далеч, но чрез настройване на код за ефективност, разработчиците значително намалиха ресурсите, необходими за взлом на криптирани съобщения. И да, алгоритъмът Cryptocat беше най-лошият между май 2012 г. и юни 2013 г.

След точка сесията наистина се получи доста технически. Почти успях да разбера умна техника, която хората от Матасано създадоха да разбият шифрованите с RSA кредитни карти. Той включваше изпращането на внимателно подбрани номера на сървъра за криптиране, сякаш те са криптирани данни и отбелязване на реакцията. Всяко число, което беше прието като валидно, ги доближи до дешифрирането на текста и също така стесни обхвата на числата за следващия опит. Получената демонстрация беше класическа версия във филмов стил на пропукване на криптиране, като буквите в обикновения текст се появяват едно по едно като двоични байтове, превъртани минало.

Ще вземете ли предизвикателството?

Ако искате да приемете крипто предизвикателството, изпратете бележка на [email protected]. Имайте предвид, че стриктното правило еднократно за наборите за предизвикателство е спряно. Вече можете да получите всички комплекти наведнъж. В съобщение преди беседата, Ptacekex поясни, че "ние говорим за предизвикателствата в Black Hat и искаме нашите лоялни криптовалути да видят всички предизвикателства преди притежателите на билети на Black Hat." В бъдеще екипът на Matasano планира уебсайт, посветен на предизвикателствата и дори книга.

Може би не сте подготвени да предприемете предизвикателството, но урокът все още е ясен. Всеки път, когато приемем, че конкретно решение е всеобщото и крайното, ще се окажем грешно. Това, което един човек може да направи, друг може да счупи.