Video: SSL, TLS, HTTP, HTTPS объяснил (Oktober 2024)
I tiden efter Snowden er mange mennesker kommet til at tro, at den eneste måde at opretholde privatlivets fred er ved at kryptere alt. (Nå, så længe din kryptering ikke bruger den mangelfulde RSA-algoritme, der gav NSA en bagdør.) En hurtig bevægelig session på Black Hat 2014-konferencen udfordrede antagelsen om, at kryptering er lig med sikkerhed. Thomas Ptacek, medstifter af Matasano Security, bemærkede, at "ingen, der implementerer kryptografi, får det helt rigtigt, " og fortsatte med at demonstrere det faktum i detaljer.
Crypto Challenge
Denne session var baseret på Matasanos krypto-udfordring, beskrevet som "en iscenesat læringsøvelse, hvor deltagerne implementerede 48 forskellige angreb mod realistiske kryptografiske konstruktioner." Ifølge Ptacek har mere end 10.000 mennesker deltaget i udfordringen.
Hvordan startede det? "Der er mennesker, som jeg ender med at diskutere med på Twitter, " sagde Ptacek. "Jeg vil dele kryptokendskab, men jeg vil ikke bevæbne disse mennesker med min jargon." Det var oprindelsen af udfordringen. Matasano-forskere skabte seks sæt med otte udfordringer. For at fuldføre et sæt skal du implementere alle otte udfordringer med det programmeringssprog, du vælger. Når du har fuldført et sæt, sender de dig det næste. "For at få jargon skal du kode, " forklarede Ptacek.
Ættende klasse matematik krævet
Du kan forvente, at implementering og krakning af forskellige typer kryptografi kræver detaljeret viden om arkane matematiske discipliner. Ptaceklisted fem avancerede emner, blandt dem "felter, sæt og ringe" og "Feistel og SP-netværksstruktur." Han fortsatte med at forklare, at ingen af dem er påkrævet. De fleste udfordringer kræver lidt mere end algebra i gymnasiet og noget kendskab til kodning.
De, der tog udfordringen, indsendte deres arbejde på en svimlende række programmeringssprog. Nogle steg endda uden for programmeringsområdet. En deltager indsendte en løsning kodet som et simpelt Excel-regneark. En anden løste en af udfordringerne ved hjælp af PostScript.
"Der vil være en masse detaljer i denne tale, og vi taler hurtigt, " sagde Ptacek. "Du vil ikke gå ud af dette ved at vide, hvordan du udnytter RSA, men jeg kan vise dig, hvor ligetil det er. Lad bare matematikken vaske over dig som usikkerhedens poesi." Det kan jeg lide!
At Err Is Human
Præsentationen fortsatte med at undersøge nogle specifikke og veldokumenterede kryptografiske tabber. Et firma løste problemet med krypteringseffektivitet ved at indstille en vigtig parameter til en, blot én. Cryptocat, berømt brugt af Edward Snowden, gik ikke så langt, men ved at finpusse kode for effektivitet reducerede udviklerne enormt de ressourcer, der kræves for at knække krypterede meddelelser. Og ja, Cryptocat-algoritmen var på det værste mellem maj 2012 og juni 2013.
Efter et punkt blev sessionen ganske teknisk. Det lykkedes mig næsten at forstå en smart teknik, som Matasano-folkene udtænkte for at bryde RSA-krypterede kreditkort. Det involverede indsendelse af omhyggeligt valgte numre til krypteringsserveren, som om de var krypterede data og noterer reaktionen. Hvert nummer, der blev accepteret som gyldigt, bragte dem tættere på at dekryptere teksten og indsnævrede også antallet af intervaller til det næste forsøg. Den resulterende demo var en klassisk film-version af cracking-kryptering, med almindelige bogstaver, der vises en efter en som binære bytes rullet forbi.
Vil du tage udfordringen?
Hvis du vil tage crypto-udfordringen, skal du sende en note til [email protected]. Bemærk, at den strenge regel ad gangen for udfordringssæt er blevet suspenderet. Du kan nu få alle sætene på én gang. I en meddelelse før samtalen forklarede Ptacekex at "Vi holder et foredrag om udfordringerne ved Black Hat og ønsker, at vores loyale kryptopal skal se alle udfordringerne, før Black Hat ticketholdere gør." Fremover planlægger Matasano-teamet et websted, der er afsat til udfordringerne og endda en bog.
Måske er du ikke udstyret til faktisk at tage udfordringen, men lektionen er stadig klar. Hver gang vi antager, at en bestemt løsning er alt-og-end-alt, vil vi blive bevist forkert. Hvad en person kan lave, en anden kan bryde.
