Відео: СÑмейна ÑдилÑÑ :) (Вересень 2024)
У епоху після Сноудена багато людей прийшли до думки, що єдиний спосіб збереження конфіденційності - це шифрування всього. (Ну, поки ваше шифрування не використовує хибний алгоритм RSA, який надав НСА задній простір.) Швидкий сеанс на конференції Black Hat 2014 оскаржив припущення, що шифрування дорівнює безпеці. Томас Птачек, співзасновник Matasano Security, зазначив, що «ніхто, хто реалізує криптографію, не отримує це повністю правильно», і продовжив детально продемонструвати цей факт.
Криптовалюта
Цей сеанс був заснований на криптовалюті Матасано, описаній як "поетапне навчання, де учасники здійснили 48 різних атак проти реалістичних криптографічних конструкцій". За словами Птачека, у виклику взяли участь понад 10 000 людей.
Як воно почалося? "Є люди, з якими я закінчуюсь сперечатися у Twitter", - сказав Птачек. "Я хочу поділитися криптовалютами, але я не хочу озброювати цих людей своїм жаргоном". Це було джерелом виклику. Дослідники Матасано створили шість наборів із восьми викликів. Щоб виконати набір, ви повинні успішно реалізувати всі вісім викликів, використовуючи обрану мову програмування. Після того, як ви успішно завершите один набір, він надішле вам наступний. "Щоб отримати жаргон, вам потрібно кодувати", - пояснив Птачек.
Потрібна математика восьмого класу
Ви можете очікувати, що впровадження та розтріскування різних типів криптографії потребуватиме детальних знань таємних математичних дисциплін. Птацеклік включив п'ять найвищих тем, серед яких "поля, набори та кільця" та "Структура мережі Feistel та SP". Він продовжив пояснювати, що ніхто з них не потрібен. Більшість проблем вимагає трохи більше, ніж середня шкільна алгебра та деякі знання кодування.
Ті, хто приймає виклики, подали свою роботу в запаморочливій різноманітності мов програмування. Деякі навіть вийшли за межі сфери програмування. Один учасник подав рішення, закодоване у вигляді простої таблиці Excel. Ще одна вирішила одну з проблем за допомогою PostScript.
"У цій розмові буде багато деталей, і ми поговоримо швидко", - сказав Птачек. "Ви не вийдете з цього, знаючи, як експлуатувати RSA, але я можу показати вам, наскільки це прямо. Просто нехай математика вимиє вас, як поезія невпевненості". Мені це подобається!
До помилки є людина
Презентація продовжила вивчення деяких конкретних і добре задокументованих криптографічних помилок. Одна компанія вирішила проблему ефективності шифрування, встановивши важливий параметр одному, просто одному. Cryptocat, відомий за допомогою Едварда Сноудена, не пішов настільки далеко, але, налаштувавши код на ефективність, розробники значно скоротили ресурси, необхідні для злому зашифрованих повідомлень. І так, алгоритм Cryptocat був найгіршим між травнем 2012 року та червнем 2013 року.
Після пункту, сесія дійсно вийшла досить технічною. Мені майже не вдалося зрозуміти розумну техніку, яку люди Матасано придумали зламати зашифровані RSA кредитні картки. Він передбачав подання ретельно вибраних номерів на сервер шифрування так, ніби вони були зашифрованими даними та відзначали реакцію. Кожне число, яке було прийнято як дійсне, наблизило їх до розшифровки тексту, а також звузило діапазон чисел для наступної спроби. Отримана демонстрація стала класичною версією фільмування тріщинового шифрування в кіно-стилі, при цьому букви в простому тексті з'являлися одна за одною як бінарні байти, прокручені повз.
Ви приймете виклик?
Якщо ви хочете прийняти криптовалюту, надішліть записку на адресу [email protected]. Зауважте, що суворе правило про набори викликів було призупинено. Тепер ви можете отримати всі набори відразу. В оголошенні перед розмовою Птацеке пояснив, що "ми розмовляємо про виклики у Black Hat, і хочемо, щоб наші лояльні криптовалюти бачили всі виклики перед власниками квитків Black Hat". Вперед, команда Matasano планує веб-сайт, присвячений викликам, і навіть книгу.
Можливо, ви не готові насправді прийняти виклик, але урок все одно зрозумілий. Кожного разу, коли ми припускаємо, що конкретне рішення - це все-таки і все-таки, ми будемо підтверджені неправильно. Що може зробити одна людина, інша може зламати.
