Video: 3. Veilig Internetten (November 2024)
In het tijdperk na Snowden zijn veel mensen gaan geloven dat de enige manier om privacy te handhaven is door alles te coderen. (Welnu, zolang uw codering geen gebruik maakt van het gebrekkige RSA-algoritme dat de NSA een achterdeur gaf.) Een snelle sessie op de Black Hat 2014-conferentie daagde de veronderstelling uit dat codering gelijk staat aan veiligheid. Thomas Ptacek, mede-oprichter van Matasano Security, merkte op dat "niemand die cryptografie implementeert het helemaal goed heeft", en ging dat feit in detail aantonen.
De Crypto-uitdaging
Deze sessie was gebaseerd op de crypto-uitdaging van Matasano, beschreven als "een geënsceneerde leeroefening waarbij deelnemers 48 verschillende aanvallen op realistische cryptografische constructies implementeerden." Volgens Ptacek hebben meer dan 10.000 mensen deelgenomen aan de uitdaging.
Hoe begon het? "Er zijn mensen met wie ik ruzie maak op Twitter, " zei Ptacek. "Ik wil crypto-kennis delen, maar ik wil die mensen niet bewapenen met mijn jargon." Dat was de oorsprong van de uitdaging. Matasano-onderzoekers creëerden zes sets van acht uitdagingen. Om een set te voltooien, moet je alle acht uitdagingen succesvol implementeren met behulp van de programmeertaal van je keuze. Nadat je de ene set hebt voltooid, sturen ze je de volgende. "Om het jargon te krijgen, moet je coderen, " legde Ptacek uit.
Achtste graad wiskunde vereist
Je zou verwachten dat het implementeren en kraken van verschillende soorten cryptografie gedetailleerde kennis van mysterieuze wiskundige disciplines vereist. Ptaceklistde vijf high-end onderwerpen, waaronder 'velden, sets en ringen' en 'Feistel- en SP-netwerkstructuur'. Hij legde verder uit dat geen van hen vereist is. De meeste uitdagingen vereisen weinig meer dan algebra op de middelbare school en enige kennis van codering.
Degenen die de uitdaging aangingen, dienden hun werk in een duizelingwekkende verscheidenheid aan programmeertalen in. Sommigen stapten zelfs buiten het rijk van programmeren. Eén deelnemer diende een oplossing in, gecodeerd als een eenvoudig Excel-spreadsheet. Een andere loste een van de uitdagingen op met PostScript.
"Er komt veel detail in dit gesprek, en we zullen snel praten, " zei Ptacek. "Je zult niet weglopen van dit wetende hoe je RSA moet exploiteren, maar ik kan je laten zien hoe eenvoudig het is. Laat de wiskunde je gewoon overspoelen als de poëzie van onzekerheid." Dat vind ik leuk!
Vergissen is menselijk
In de presentatie werden enkele specifieke en goed gedocumenteerde cryptografische blunders onderzocht. Eén bedrijf loste het probleem van encryptie-efficiëntie op door een essentiële parameter in te stellen op één, slechts één. Cryptocat, beroemd gebruikt door Edward Snowden, ging niet zo ver, maar door de code voor efficiëntie aan te passen hebben de ontwikkelaars de middelen die nodig zijn om gecodeerde berichten te kraken enorm verminderd. En ja, het Cryptocat-algoritme was op zijn slechtst tussen mei 2012 en juni 2013.
Na een punt werd de sessie inderdaad behoorlijk technisch. Het lukte me bijna om een slimme techniek te begrijpen die de Matasano-mensen bedachten om RSA-gecodeerde creditcards te breken. Het betrof het indienen van zorgvuldig geselecteerde nummers bij de coderingsserver alsof het gecodeerde gegevens waren en de reactie noterend. Elk nummer dat als geldig werd geaccepteerd, bracht hen dichter bij het ontsleutelen van de tekst en verkleinde ook het bereik van nummers voor de volgende poging. De resulterende demo was een klassieke versie in filmstijl van kraakcodering, waarbij gewone tekstletters één voor één verschenen als binaire bytes die voorbij schoven.
Ga jij de uitdaging aan?
Als je de crypto-uitdaging wilt aangaan, stuur dan een bericht naar [email protected]. Merk op dat de strikte een-voor-een-regel voor uitdagingssets is opgeschort. Je kunt nu alle sets in één keer krijgen. In een aankondiging voorafgaand aan het gesprek verklaarde Ptacek dat "we een lezing geven over de uitdagingen bij Black Hat en willen dat onze loyale cryptopalen alle uitdagingen zien voordat Black Hat tickethouders dat doen." In de toekomst plant het Matasano-team een website gewijd aan de uitdagingen, en zelfs een boek.
Misschien ben je niet uitgerust om de uitdaging aan te gaan, maar de les is nog steeds duidelijk. Telkens als we aannemen dat een bepaalde oplossing de ultieme oplossing is, zullen we ongelijk krijgen. Wat de ene persoon kan maken, kan de andere breken.
