Видео: unboxing turtles slime surprise toys learn colors (Октября 2024)
В эпоху после Сноудена многие люди пришли к убеждению, что единственный способ сохранить конфиденциальность - это зашифровать все. (Ну, пока ваше шифрование не использует некорректный алгоритм RSA, который дал NSA задний ход.) Быстрая сессия на конференции Black Hat 2014 поставила под сомнение предположение, что шифрование означает безопасность. Томас Птачек, соучредитель Matasano Security, отметил, что «никто, кто внедряет криптографию, не понимает ее полностью правильно», и продолжил демонстрировать этот факт подробно.
Crypto Challenge
Эта сессия была основана на крипто-вызове Матасано, описанном как «поэтапное обучение, в котором участники реализовали 48 различных атак на реалистичные криптографические конструкции». По словам Птачека, более 10000 человек приняли участие в конкурсе.
Как это началось? «Есть люди, с которыми я в конечном итоге спорю в Твиттере», - сказал Птачек. «Я хочу поделиться знаниями крипто, но я не хочу вооружать этих людей своим жаргоном». Это было источником проблемы. Исследователи Matasano создали шесть наборов из восьми задач. Чтобы завершить набор, вы должны успешно выполнить все восемь задач, используя язык программирования по вашему выбору. После того, как вы успешно завершили один набор, они отправят вам следующий. «Чтобы получить жаргон, вы должны написать код», - объяснил Птачек.
Восьмой класс математика требуется
Вы можете ожидать, что для реализации и взлома различных типов криптографии потребуется детальное знание тайных математических дисциплин. Птачек перечислил пять топовых тем, среди которых «поля, множества и кольца» и «структура сети Фейстеля и SP». Он продолжил объяснять, что ни один из них не требуется. Большинство задач требуют чуть больше, чем алгебра средней школы, и некоторые знания кодирования.
Те, кто принял вызов, представили свою работу на головокружительном разнообразии языков программирования. Некоторые даже вообще вышли за рамки программирования. Один участник представил решение, закодированное в виде простой электронной таблицы Excel. Другой решил одну из проблем, используя PostScript.
«В этом выступлении будет много деталей, и мы будем говорить быстро», - сказал Птачек. «Вы не выйдете из этого, зная, как использовать RSA, но я могу показать вам, насколько это просто. Просто позвольте математике обрушиться на вас, как поэзия неуверенности». Я люблю это!
Человеку свойственно ошибаться
Далее в презентации были рассмотрены некоторые конкретные и хорошо задокументированные криптографические ошибки. Одна компания решила проблему эффективности шифрования, установив необходимый параметр в один, только один. Cryptocat, известный как Эдвард Сноуден, не зашел так далеко, но, настроив код для повышения эффективности, разработчики значительно сократили ресурсы, необходимые для взлома зашифрованных сообщений. И да, алгоритм Cryptocat был наихудшим в период с мая 2012 года по июнь 2013 года.
Через некоторое время сессия действительно стала довольно технической. Мне почти удалось понять хитрую технику, которую разработчики Matasano разработали для взлома кредитных карт, зашифрованных RSA. Он включал передачу тщательно отобранных номеров на сервер шифрования, как если бы они были зашифрованными данными, и отмечал реакцию. Каждое число, которое было принято как действительное, приближало их к расшифровке текста, а также сужало диапазон чисел для следующей попытки. Получившаяся демоверсия представляла собой классическую версию взломанного шифрования в стиле фильма, в которой текстовые буквы появлялись одна за другой, когда проходили двоичные байты.
Вы примете вызов?
Если вы хотите принять вызов crypto, отправьте сообщение по адресу [email protected]. Обратите внимание, что строгое единовременное правило для наборов вызовов было приостановлено. Теперь вы можете получить все наборы одновременно. В своем объявлении перед выступлением Птачекэкспламентировал, что «мы рассказываем о проблемах в Black Hat и хотим, чтобы наши преданные криптопалы увидели все вызовы, прежде чем владельцы билетов Black Hat». В дальнейшем команда Matasano планирует веб-сайт, посвященный вызовам, и даже книгу.
Может быть, вы не готовы принять вызов, но урок все еще ясен. Всякий раз, когда мы предполагаем, что конкретное решение является окончательным, мы будем ошибаться. То, что может сделать один человек, может сломать другой.
