Casa Securitywatch La crittografia protegge i tuoi dati ... o lo fa?

La crittografia protegge i tuoi dati ... o lo fa?

Video: CRIPTARE i dati | Cosa significa e come si fa (Novembre 2024)

Video: CRIPTARE i dati | Cosa significa e come si fa (Novembre 2024)
Anonim

Nell'era post-Snowden, molte persone sono arrivate a credere che l'unico modo per mantenere la privacy sia attraverso la crittografia di tutto. (Bene, fintanto che la tua crittografia non utilizza l'algoritmo RSA difettoso che ha fornito all'NSA una backdoor.) Una sessione in rapido movimento alla conferenza di Black Hat 2014 ha contestato l'assunto che la crittografia equivale alla sicurezza. Thomas Ptacek, co-fondatore di Matasano Security, ha osservato che "nessuno che implementa la crittografia capisce perfettamente", e ha continuato a dimostrare questo fatto in dettaglio.

The Crypto Challenge

Questa sessione si basava sulla sfida crittografica di Matasano, descritta come "un esercizio di apprendimento in scena in cui i partecipanti hanno implementato 48 diversi attacchi contro costruzioni crittografiche realistiche". Secondo Ptacek, oltre 10.000 persone hanno partecipato alla sfida.

Come é iniziato? "Ci sono persone con cui finisco di litigare su Twitter", ha detto Ptacek. "Voglio condividere le conoscenze crittografiche, ma non voglio armare quelle persone con il mio gergo." Questa era l'origine della sfida. I ricercatori di Matasano hanno creato sei serie di otto sfide. Per completare un set, devi implementare con successo tutte e otto le sfide usando il linguaggio di programmazione che preferisci. Dopo aver completato con successo un set, ti invieranno il successivo. "Per ottenere il gergo, devi programmare", ha spiegato Ptacek.

Obbligatorio di ottava elementare

Potresti aspettarti che implementare e decifrare vari tipi di crittografia richiederebbe una conoscenza dettagliata delle arcane discipline matematiche. Ptacek ha elencato cinque argomenti di fascia alta, tra cui "campi, insiemi e anelli" e "Feistel e struttura di rete SP". Ha continuato spiegando che nessuno di loro è richiesto. La maggior parte delle sfide richiede poco più dell'algebra del liceo e una certa conoscenza della programmazione.

Coloro che hanno accettato la sfida hanno presentato il loro lavoro in una vertiginosa varietà di linguaggi di programmazione. Alcuni addirittura sono usciti del tutto fuori dal regno della programmazione. Un partecipante ha inviato una soluzione codificata come un semplice foglio di calcolo Excel. Un altro ha risolto una delle sfide con PostScript.

"Ci saranno molti dettagli in questo discorso e parleremo in fretta", ha detto Ptacek. "Non uscirai da questo sapere come sfruttare RSA, ma posso mostrarti quanto sia semplice. Lascia che la matematica ti lavi sopra come la poesia dell'insicurezza." Mi piace!

Errare è umano

La presentazione ha continuato a esaminare alcuni errori crittografici specifici e ben documentati. Una società ha risolto il problema dell'efficienza della crittografia impostando un parametro essenziale su uno, solo uno. Cryptocat, notoriamente usato da Edward Snowden, non è andato così lontano, ma modificando il codice per l'efficienza gli sviluppatori hanno ridotto notevolmente le risorse necessarie per decifrare i messaggi crittografati. E sì, l'algoritmo Cryptocat è stato al suo peggio tra maggio 2012 e giugno 2013.

Dopo un certo punto, la sessione è diventata piuttosto tecnica. Sono quasi riuscito a capire una tecnica intelligente che la gente di Matasano ha ideato per rompere le carte di credito crittografate con RSA. Ha comportato l'invio di numeri accuratamente selezionati al server di crittografia come se fossero dati crittografati e l'annotazione della reazione. Ogni numero che è stato accettato come valido li ha avvicinati alla decrittazione del testo e ha anche ristretto l'intervallo di numeri per il tentativo successivo. La demo risultante era una classica versione cinematografica della crittografia cracking, con lettere in chiaro che apparivano una ad una mentre i byte binari scorrevano.

Accetterai la sfida?

Se vuoi partecipare alla sfida di crittografia, invia una nota a [email protected]. Nota che la rigida regola alla volta per i set di sfide è stata sospesa. Ora puoi ottenere tutti i set in una volta. In un annuncio prima del discorso, Ptaceke ha spiegato che "Stiamo dando un discorso sulle sfide di Black Hat e vogliamo che i nostri fedeli criptopali vedano tutte le sfide prima che i ticketolder di Black Hat lo facciano". In futuro, il team Matasano pianifica un sito Web dedicato alle sfide e persino un libro.

Forse non sei attrezzato per affrontare la sfida, ma la lezione è ancora chiara. Ogni volta che assumiamo che una soluzione particolare sia l'essere-tutto e fine-tutto, ci verrà smentito. Ciò che una persona può fare, un'altra può rompersi.

La crittografia protegge i tuoi dati ... o lo fa?