บ้าน Securitywatch การเข้ารหัสทำให้ข้อมูลของคุณปลอดภัย ... หรือไม่?

การเข้ารหัสทำให้ข้อมูลของคุณปลอดภัย ... หรือไม่?

วีดีโอ: สาวไต้หวันตีกลà¸à¸‡à¸Šà¸¸à¸” What I've Done Blue 1 (ธันวาคม 2024)

วีดีโอ: สาวไต้หวันตีกลà¸à¸‡à¸Šà¸¸à¸” What I've Done Blue 1 (ธันวาคม 2024)
Anonim

ในยุคโพสต์สโนว์เดนหลายคนเชื่อว่าวิธีเดียวที่จะรักษาความเป็นส่วนตัวคือการเข้ารหัสทุกอย่าง (ตราบใดที่การเข้ารหัสของคุณไม่ได้ใช้อัลกอริธึม RSA ที่มีข้อบกพร่องซึ่งทำให้ NSA เป็นแบ็คดอร์) เซสชั่นที่เคลื่อนไหวเร็วในการประชุม Black Hat 2014 ท้าทายสมมติฐานที่การเข้ารหัสเท่ากับความปลอดภัย Thomas Ptacek ผู้ร่วมก่อตั้ง Matasano Security ตั้งข้อสังเกตว่า "ไม่มีใครดำเนินการเข้ารหัสได้ถูกต้องสมบูรณ์" และแสดงให้เห็นถึงข้อเท็จจริงในรายละเอียด

The Crypto Challenge

เซสชั่นนี้มีพื้นฐานมาจากความท้าทายของการเข้ารหัสลับของ Matasano ซึ่งอธิบายไว้ว่า จากข้อมูลของ Ptacek มีคนมากกว่า 10, 000 คนเข้าร่วมในการแข่งขัน

มันเริ่มได้อย่างไร Ptacek กล่าวว่า "มีคนที่ฉันโต้เถียงกันบน Twitter" "ฉันต้องการแบ่งปันความรู้ crypto แต่ฉันไม่ต้องการให้แขนคนเหล่านั้นกับศัพท์แสงของฉัน" นั่นคือที่มาของความท้าทาย นักวิจัย Matasano สร้างหกความท้าทายแปดชุด เพื่อให้ครบชุดคุณจะต้องใช้ความท้าทายทั้งแปดโดยใช้ภาษาการเขียนโปรแกรมที่คุณเลือก หลังจากที่คุณสำเร็จหนึ่งชุดพวกเขาจะส่งต่อไปให้คุณ "เพื่อให้ได้ศัพท์แสงคุณต้องเขียนโค้ด" Ptacek อธิบาย

ต้องการเกรดคณิตศาสตร์แปดระดับ

คุณอาจคาดหวังว่าการนำไปใช้และการถอดรหัสประเภทต่าง ๆ ของการเข้ารหัสจะต้องมีความรู้รายละเอียดเกี่ยวกับสาขาวิชาคณิตศาสตร์ที่เป็นความลับ Ptaceklisted ห้าหัวข้อระดับสูงในหมู่พวกเขา "ฟิลด์, ชุด, และแหวน" และ "โครงสร้างเครือข่าย Feistel และ SP" เขาอธิบายต่อไปว่าไม่จำเป็นต้องมีสิ่งใดเลย ความท้าทายส่วนใหญ่ต้องการมากกว่าพีชคณิตมัธยมและความรู้เรื่องการเขียนโค้ด

ผู้ที่รับการท้าทายส่งงานของพวกเขาในภาษาโปรแกรมที่หลากหลาย บางคนถึงกับก้าวออกไปนอกขอบเขตของการเขียนโปรแกรมโดยสิ้นเชิง ผู้เข้าร่วมคนหนึ่งส่งวิธีการแก้ปัญหาที่เขียนเป็นสเปรดชีต Excel อย่างง่าย อีกวิธีหนึ่งที่แก้ไขได้ด้วยการใช้ PostScript

“ จะมีรายละเอียดมากมายในการพูดคุยนี้และเราจะพูดเร็ว” Ptacek กล่าว “ คุณจะไม่เดินออกไปจากสิ่งนี้เพราะรู้ว่าจะใช้ประโยชน์จาก RSA ได้อย่างไร แต่ฉันสามารถแสดงให้คุณเห็นว่ามันตรงไปตรงมาเพียงแค่ให้คณิตศาสตร์ล้างคุณเช่นบทกวีแห่งความไม่มั่นคง” ฉันชอบมัน!

การผิดพลาดเป็นมนุษย์

งานนำเสนอดำเนินต่อไปเพื่อตรวจสอบข้อผิดพลาดการเข้ารหัสลับที่เฉพาะเจาะจงและดีบางอย่าง บริษัท หนึ่งแก้ไขปัญหาของประสิทธิภาพการเข้ารหัสโดยการตั้งค่าพารามิเตอร์ที่จำเป็นหนึ่งเดียว Cryptocat ซึ่งเป็นที่นิยมใช้โดย Edward Snowden ไม่ได้ไปไกลขนาดนั้น แต่ด้วยการปรับแต่งโค้ดเพื่อประสิทธิภาพนักพัฒนาลดทรัพยากรที่จำเป็นในการถอดรหัสข้อความที่เข้ารหัสอย่างมากมาย และใช่อัลกอริทึม Cryptocat นั้นเลวร้ายที่สุดระหว่างพฤษภาคม 2012 ถึงมิถุนายน 2013

หลังจากผ่านไปช่วงหนึ่งเซสชันก็เริ่มได้รับเทคนิคมาพอสมควรแล้ว ฉันเกือบจะเข้าใจเทคนิคที่ชาญฉลาดที่คน Matasano วางแผนที่จะทำลายบัตรเครดิตที่เข้ารหัสด้วย RSA มันเกี่ยวข้องกับการส่งหมายเลขที่เลือกอย่างระมัดระวังไปยังเซิร์ฟเวอร์การเข้ารหัสราวกับว่าพวกเขาเป็นข้อมูลที่เข้ารหัสและสังเกตปฏิกิริยา แต่ละหมายเลขที่ได้รับการยอมรับว่าถูกต้องจะนำพวกเขาเข้ามาใกล้เพื่อถอดรหัสข้อความและ จำกัด ช่วงของตัวเลขสำหรับความพยายามครั้งต่อไป การสาธิตที่เกิดขึ้นนั้นเป็นเวอร์ชั่นภาพยนตร์คลาสสิคของการเข้ารหัสถอดรหัสโดยมีตัวอักษรธรรมดาปรากฏขึ้นทีละตัวเมื่อไบนารีไบนารี่เลื่อนผ่านมา

คุณจะท้าทายไหม

หากคุณต้องการที่จะท้าทายการเข้ารหัสลับส่งบันทึกไปยัง [email protected] โปรดทราบว่ากฎข้อหนึ่งต่อครั้งที่เข้มงวดสำหรับชุดการท้าทายได้ถูกระงับไว้ ตอนนี้คุณสามารถรับชุดทั้งหมดได้ในครั้งเดียว ในการประกาศก่อนการพูดคุย Ptacek อธิบายว่า "เรากำลังพูดถึงความท้าทายที่ Black Hat และต้องการให้ cryptopals ที่ซื่อสัตย์ของเราเห็นความท้าทายทั้งหมดก่อนที่ Black Hat ticketholders จะทำ" ในอนาคตข้างหน้าทีม Matasano วางแผนเว็บไซต์เพื่อรองรับความท้าทายและแม้กระทั่งหนังสือ

บางทีคุณอาจไม่พร้อมที่จะรับความท้าทาย แต่บทเรียนก็ยังชัดเจน เมื่อใดก็ตามที่เราคิดว่าทางออกที่เฉพาะเจาะจงคือ be-all และ end-all เราจะได้รับการพิสูจน์ว่าผิด สิ่งที่คนคนหนึ่งสามารถทำได้อีกคนสามารถทำลาย

การเข้ารหัสทำให้ข้อมูลของคุณปลอดภัย ... หรือไม่?