הצפנה שומרת על בטיחות הנתונים שלך ... או שכן?

בעידן שלאחר השלגדן אנשים רבים האמינו שהדרך היחידה לשמור על פרטיות היא באמצעות הצפנת הכל. (ובכן, כל עוד ההצפנה שלך לא משתמשת באלגוריתם RSA הפגום שהעניק ל- NSA דלת אחורית.) ישיבה שזזה במהירות בכנס Black Hat 2014 אתגרה את ההנחה שההצפנה שווה לבטיחות. תומאס פצ'ק, מייסד שותף של Matasano Security, ציין כי "מי שמיישם את הקריפטוגרפיה לא מבין את זה לגמרי", והמשיך להפגין עובדה זו בפירוט.

אתגר הקריפטו

מפגש זה התבסס על אתגר הקריפטו של מטסאנו, שתואר כ"תרגיל למידה מבוים בו המשתתפים יישמו 48 התקפות שונות נגד קונסטרוקציות קריפטוגרפיות ריאליות. " על פי נתוני Ptacek, יותר מ 10, 000 איש השתתפו באתגר.

איך זה התחיל? "יש אנשים שבסופו של דבר אני מתווכח איתם בטוויטר", אמר פצ'ק. "אני רוצה לשתף ידע בקריפטו, אבל אני לא רוצה לחמש את האנשים האלה בז'רגון שלי." זה היה מקור האתגר. חוקרי Matasano יצרו שש קבוצות של שמונה אתגרים. כדי להשלים סט, עליך ליישם בהצלחה את כל שמונת האתגרים באמצעות שפת התכנות שתבחר. לאחר שתשלים בהצלחה סט אחד, הם ישלחו לך את הבאה. "כדי להשיג את הז'רגון אתה צריך לקוד, " הסביר פצ'ק.

חובה במתמטיקה בכיתה ח '

ניתן לצפות כי יישום ופיצוח של סוגים שונים של קריפטוגרפיה ידרוש ידע מפורט בתחומי מתמטיקה ארקניים. Ptaceklist ערך חמישה נושאים מתקדמים, ביניהם "שדות, סטים וטבעות" ו"מבנה רשת פיסטל ו- SP. " הוא המשיך והסביר שאיש מהם לא נדרש. מרבית האתגרים דורשים מעט יותר מאלגברה בתיכון, וקצת ידע בקידוד.

הלוקחים את האתגר הגישו את עבודתם במגוון מסחרר של שפות תכנות. חלקם אפילו יצאו מחוץ לתחום התכנות לחלוטין. משתתף אחד הגיש פתרון המקודד כגיליון אלקטרוני פשוט של Excel. אחר פתר את אחד האתגרים באמצעות PostScript.

"הולך להיות הרבה פרטים בשיחה הזו, ונדבר מהר", אמר פצ'ק. "לא תצאי מהידע הזה איך לנצל את RSA, אבל אני יכול להראות לך כמה זה פשוט. רק תן למתמטיקה לשטוף אותך כמו שירה של חוסר ביטחון." אני אוהב את זה!

לטעות זה אנושי

המצגת המשיכה לבחון כמה פגמים קריפטוגרפיים ספציפיים ומתועדים היטב. חברה אחת פתרה את בעיית יעילות ההצפנה על ידי קביעת פרמטר חיוני לאחד, רק אחד. Cryptocat, ששימש את המפורסם על ידי אדוארד סנודן, לא הרחיק לכת עד כדי כך, אך באמצעות ציוץ קוד ליעילות המפתחים צמצמו במידה רבה את המשאבים הדרושים לפיצוח הודעות מוצפנות. וכן, אלגוריתם Cryptocat היה במקרה הגרוע ביותר בין מאי 2012 ליוני 2013.

אחרי נקודה, הפגישה אכן הפכה טכנית למדי. כמעט הצלחתי להבין טכניקה חכמה שאנשי Matasano תכננו לשבור כרטיסי אשראי מוצפנים RSA. זה כלל הגשת מספרים שנבחרו בקפידה לשרת ההצפנה כאילו היו נתונים מוצפנים וציין את התגובה. כל מספר שהתקבל כתקף קירב אותם לפענוח הטקסט, וגם צמצם את טווח המספרים לניסיון הבא. ההדגמה שהתקבלה הייתה גרסה קלאסית בסגנון קולנוע של הצפנת פיצוח, עם אותיות פשוטות המופיעות אחת אחת כבתים בינאריים שנסקרו בעבר.

האם תיקח את האתגר?

אם אתה רוצה לקחת אתגר הקריפטו, שלח הודעה לכתובת [email protected]. שים לב שהכלל הקפדני בכל פעם לגבי מערכות האתגר הושעה. כעת תוכל להשיג את כל הסטים בבת אחת. בהודעה לפני השיחה, הסביר פטאצ'ייק כי "אנו משוחחים על האתגרים ב"כובע השחור", ורוצים שהקריפטופלים הנאמנים שלנו יראו את כל האתגרים לפני שעובדי התיוק של הכובע השחור יעשו זאת. " בהמשך, צוות Matasano מתכנן אתר המוקדש לאתגרים ואפילו ספר.

אולי אינך מצוייד לקחת בפועל את האתגר, אך השיעור עדיין ברור. בכל פעם שאנו מניחים שפתרון מסוים הוא הכל-וכל-סוף, הוכח כשגוי. מה שאדם אחד יכול לעשות, אחר יכול להישבר.