Lar Securitywatch A criptografia mantém seus dados seguros ... ou não?

A criptografia mantém seus dados seguros ... ou não?

Vídeo: Testando a Criptografia Ponta-a-Ponta do Whatsapp (Novembro 2024)

Vídeo: Testando a Criptografia Ponta-a-Ponta do Whatsapp (Novembro 2024)
Anonim

Na era pós-Snowden, muitas pessoas acreditam que a única maneira de manter a privacidade é criptografar tudo. (Bem, desde que sua criptografia não use o algoritmo defeituoso do RSA que deu à NSA um backdoor.) Uma sessão de movimento rápido na conferência Black Hat 2014 desafiou a suposição de que criptografia é igual a segurança. Thomas Ptacek, co-fundador da Matasano Security, observou que "ninguém que implementa criptografia acerta completamente", e continuou demonstrando esse fato em detalhes.

O desafio de criptografia

Esta sessão foi baseada no desafio criptográfico de Matasano, descrito como "um exercício de aprendizado encenado em que os participantes implementaram 48 ataques diferentes contra construções criptográficas realistas". Segundo Ptacek, mais de 10.000 pessoas participaram do desafio.

Como isso começou? "Há pessoas com quem eu acabo discutindo no Twitter", disse Ptacek. "Quero compartilhar conhecimento de criptografia, mas não quero armar essas pessoas com o meu jargão". Essa foi a origem do desafio. Os pesquisadores da Matasano criaram seis conjuntos de oito desafios. Para concluir um conjunto, você deve implementar com êxito todos os oito desafios usando a linguagem de programação de sua escolha. Depois de concluir com êxito um conjunto, eles enviarão o próximo. "Para entender o jargão, você precisa codificar", explicou Ptacek.

Matemática da oitava série necessária

Você pode esperar que implementar e quebrar vários tipos de criptografia exigiria conhecimento detalhado de disciplinas matemáticas arcanas. A Ptacek listou cinco tópicos avançados, entre eles "campos, conjuntos e anéis" e "estrutura de rede Feistel e SP". Ele continuou explicando que nenhum deles é necessário. A maioria dos desafios requer pouco mais que álgebra do ensino médio e algum conhecimento de codificação.

Aqueles que aceitaram o desafio apresentaram seu trabalho em uma variedade estonteante de linguagens de programação. Alguns chegaram a sair completamente do domínio da programação. Um participante enviou uma solução codificada como uma simples planilha do Excel. Outro resolveu um dos desafios usando o PostScript.

"Haverá muitos detalhes nesta palestra, e conversaremos rápido", disse Ptacek. "Você não vai desistir disso sabendo como explorar o RSA, mas eu posso lhe mostrar como é simples. Apenas deixe a matemática passar por você como a poesia da insegurança." Eu gosto disso!

Errar é humano

A apresentação continuou examinando alguns erros criptográficos específicos e bem documentados. Uma empresa resolveu o problema da eficiência da criptografia definindo um parâmetro essencial para um, apenas um. O Cryptocat, famoso por Edward Snowden, não foi tão longe assim, mas, aprimorando o código de eficiência, os desenvolvedores reduziram bastante os recursos necessários para quebrar mensagens criptografadas. E sim, o algoritmo Cryptocat estava no seu pior estado entre maio de 2012 e junho de 2013.

Depois de um ponto, a sessão realmente ficou bastante técnica. Eu quase consegui entender uma técnica inteligente que o pessoal da Matasano inventou para quebrar cartões de crédito criptografados pela RSA. Envolveu o envio de números cuidadosamente selecionados para o servidor de criptografia como se fossem dados criptografados e a observação da reação. Cada número aceito como válido os aproximou da descriptografia do texto e também reduziu o intervalo de números para a próxima tentativa. A demonstração resultante foi uma versão clássica do estilo de criptografia de cracking, com letras em texto simples aparecendo uma a uma à medida que bytes binários passavam.

Você aceitará o desafio?

Se você quiser aceitar o desafio de criptografia, envie uma nota para [email protected]. Observe que a regra estrita de uma vez para conjuntos de desafios foi suspensa. Agora você pode obter todos os conjuntos de uma só vez. Em um anúncio antes da palestra, Ptaceke explicou que "Estamos dando uma palestra sobre os desafios da Black Hat, e queremos que nossos leais criptopais vejam todos os desafios antes dos titulares de ingressos da Black Hat". No futuro, a equipe Matasano planeja um site dedicado aos desafios e até um livro.

Talvez você não esteja preparado para aceitar o desafio, mas a lição ainda está clara. Sempre que assumirmos que uma solução específica é o princípio e o fim, estaremos errados. O que uma pessoa pode fazer, outra pode quebrar.

A criptografia mantém seus dados seguros ... ou não?