Kryptering holder dataene dine trygge ... eller gjør det det?

I tiden etter Snowden er det mange som har trodd at den eneste måten å opprettholde personvernet er ved å kryptere alt. (Vel, så lenge krypteringen din ikke bruker den mangelfulle RSA-algoritmen som ga NSA en bakdør.) En hurtig bevegelse på Black Hat 2014-konferansen utfordret antagelsen om at kryptering tilsvarer sikkerhet. Thomas Ptacek, medgründer av Matasano Security, bemerket at "ingen som implementerer kryptografi får det helt riktig, " og fortsatte med å demonstrere det faktum i detalj.

Crypto Challenge

Denne økten var basert på Matasanos kryptoutfordring, beskrevet som "en iscenesatt læringsøvelse der deltakerne implementerte 48 forskjellige angrep mot realistiske kryptografiske konstruksjoner." I følge Ptacek har mer enn 10.000 mennesker deltatt i utfordringen.

Hvordan startet det? "Det er folk som jeg ender med å krangle med på Twitter, " sa Ptacek. "Jeg vil dele kryptokunnskap, men jeg vil ikke bevæpne disse menneskene med sjargongen min." Det var opprinnelsen til utfordringen. Matasano-forskere laget seks sett med åtte utfordringer. For å fullføre et sett, må du implementere alle åtte utfordringer med programmeringsspråket du velger. Når du har fullført ett sett, vil de sende deg det neste. "For å få sjargongen, må du kode, " forklarte Ptacek.

Åttende klasse matematikk påkrevd

Du kan forvente at implementering og sprekker av forskjellige typer kryptografi vil kreve detaljert kunnskap om arkane matematiske disipliner. Ptaceklisted fem avanserte emner, blant dem "felt, sett og ringer" og "Feistel og SP nettverksstruktur." Han fortsatte med å forklare at ingen av dem er påkrevd. De fleste utfordringene krever lite mer enn algebra på videregående skole, og litt kunnskap om koding.

De som tok utfordringen sendte inn arbeidet sitt i et yrende utvalg av programmeringsspråk. Noen gikk til og med utenfor programmeringsområdet. En deltaker sendte inn en løsning som er kodet som et enkelt Excel-regneark. En annen løste en av utfordringene ved hjelp av PostScript.

"Det kommer til å være mye detaljert i denne praten, og vi snakker fort, " sa Ptacek. "Du vil ikke gå ut av dette og vite hvordan du utnytter RSA, men jeg kan vise deg hvor grei det er. Bare la regnestykket vaske over deg som usikkerhetsdiktning." Jeg liker det!

For Err Is Human

Presentasjonen fortsatte med å undersøke noen spesifikke og veldokumenterte kryptografiske tabber. Et selskap løste problemet med krypteringseffektivitet ved å sette en viktig parameter til en, bare en. Cryptocat, kjent brukt av Edward Snowden, gikk ikke så langt, men ved å finpusse kode for effektivitet reduserte utviklerne enormt ressursene som kreves for å knekke krypterte meldinger. Og ja, Cryptocat-algoritmen var på sitt verste mellom mai 2012 og juni 2013.

Etter et poeng ble økten ganske teknisk. Jeg klarte nesten å forstå en smart teknikk som Matasano-folket hadde tenkt å bryte RSA-krypterte kredittkort. Det innebar å sende nøye utvalgte nummer til krypteringsserveren som om de var krypterte data og merke reaksjonen. Hvert nummer som ble akseptert som gyldig førte dem nærmere til å dekryptere teksten, og innsnevret også antallet for neste forsøk. Den resulterende demoen var en klassisk versjon av cracking-kryptering i filmstil, med klartekstbokstaver som vises én etter én som binære byte rullet forbi.

Vil du ta utfordringen?

Hvis du vil ta kryptoutfordringen, kan du sende en lapp til [email protected]. Vær oppmerksom på at den strenge regelen om gangen for utfordringssett er suspendert. Du kan nå få alle settene samtidig. I en kunngjøring før foredraget uttalte Ptacekex at "Vi holder foredrag om utfordringene på Black Hat, og ønsker at våre lojale kryptopaler skal se alle utfordringene før Black Hat ticketholders gjør." Fremover planlegger Matasano-teamet et nettsted viet utfordringene, og til og med en bok.

Kanskje er du ikke utstyrt til å faktisk ta utfordringen, men leksjonen er fremdeles klar. Hver gang vi antar at en bestemt løsning er alt-og-slutt-alt, blir vi bevist feil. Hva en person kan lage, en annen kan bryte.