Video: Dina rättigheter till offentlig information - webbinarium med Proscovia Svärd (September 2024)
Under tiden efter Snowden har många människor trodde att det enda sättet att bibehålla integriteten är genom att kryptera allt. (Tja, så länge din kryptering inte använder den felaktiga RSA-algoritmen som gav NSA en bakdörr.) En snabb rörelse på Black Hat 2014-konferensen utmanade antagandet att kryptering är lika med säkerheten. Thomas Ptacek, medgrundare av Matasano Security, konstaterade att "ingen som implementerar kryptografi får det helt rätt", och fortsatte med att demonstrera detta faktum i detalj.
Crypto Challenge
Denna session var baserad på Matasanos kryptoutmaning, beskrivet som "en iscensatt inlärningsövning där deltagarna implementerade 48 olika attacker mot realistiska kryptografiska konstruktioner." Enligt Ptacek har mer än 10 000 personer deltagit i utmaningen.
Hur började det? "Det finns människor som jag slutar argumentera med på Twitter", sa Ptacek. "Jag vill dela kryptokunskap, men jag vill inte beväpna dessa människor med min jargong." Det var utmaningen. Matasano-forskare skapade sex uppsättningar med åtta utmaningar. För att slutföra en uppsättning måste du framgångsrikt implementera alla åtta utmaningar med det programmeringsspråk du väljer. När du har slutfört en uppsättning skickar de dig nästa. "För att få jargong måste du koda", förklarade Ptacek.
Åttonde klass matematik krävs
Du kan förvänta dig att implementering och krackning av olika typer av kryptografi kräver detaljerad kunskap om arka matematiska discipliner. Ptaceklisted fem avancerade ämnen, bland dem "fält, uppsättningar och ringar" och "Feistel och SP-nätverksstruktur." Han fortsatte med att förklara att ingen av dem krävs. De flesta av utmaningarna kräver lite mer än algebra i gymnasiet och viss kunskap om kodning.
De som tog utmaningen lade fram sitt arbete på en yrande mängd programmeringsspråk. Vissa gick till och med utanför programmeringsområdet. En deltagare skickade in en lösning kodad som ett enkelt Excel-kalkylblad. En annan löste en av utmaningarna med PostScript.
"Det kommer att finnas mycket detaljer i det här samtalet, och vi ska prata snabbt, " sade Ptacek. "Du kommer inte att gå ut ur detta och veta hur du utnyttjar RSA, men jag kan visa dig hur enkelt det är. Låt bara matematiken tvätta över dig som osäkerhets poesi." Jag gillar det!
To Err Is Human
Presentationen fortsatte med att undersöka några specifika och väldokumenterade kryptografiska felaktigheter. Ett företag löste problemet med krypteringseffektivitet genom att sätta en viktig parameter till en, bara en. Cryptocat, känd som används av Edward Snowden, gick inte så långt så långt, men genom att finjustera kod för effektivitet minskade utvecklarna kraftigt resurserna som krävs för att knäcka krypterade meddelanden. Och ja, Cryptocat-algoritmen var som värst mellan maj 2012 och juni 2013.
Efter en punkt blev sessionen verkligen ganska teknisk. Jag lyckades nästan förstå en smart teknik som Matasano-folket tänkt för att bryta RSA-krypterade kreditkort. Det handlade om att skicka noggrant utvalda nummer till krypteringsservern som om de var krypterade data och noterade reaktionen. Varje nummer som accepterades som giltigt förde dem närmare att dekryptera texten och minskade också antalet för nästa försök. Den resulterande demonstrationen var en klassisk filmversion av krackningskryptering, med tydliga bokstäver som visas en efter en som binära byte rullade förbi.
Kommer du ta utmaningen?
Om du vill ta kryptoutmaningen, skicka en anteckning till [email protected]. Observera att den strikta regeln i taget för utmaningsuppsättningar har avbrutits. Du kan nu få alla uppsättningarna på en gång. I ett tillkännagivande före samtalet förklarade Ptacekex att "Vi håller ett föredrag om utmaningarna på Black Hat, och vill att våra lojala kryptopaler ska se alla utmaningar innan Black Hat ticketholders gör." Framöver planerar Matasano-teamet en webbplats som ägnas åt utmaningarna och till och med en bok.
Kanske är du inte utrustad för att faktiskt ta utmaningen, men lektionen är fortfarande klar. Varje gång vi antar att en viss lösning är allt-och-slut-allt kommer vi att bevisas fel. Vad en person kan göra, en annan kan bryta.
