Rumah Jam keamanan Enkripsi menjaga data Anda aman ... atau apakah itu?

Enkripsi menjaga data Anda aman ... atau apakah itu?

Video: Memahami Enkripsi! (Desember 2024)

Video: Memahami Enkripsi! (Desember 2024)
Anonim

Di era pasca-Snowden, banyak orang mulai percaya bahwa satu-satunya cara untuk menjaga privasi adalah dengan mengenkripsi semuanya. (Ya, selama enkripsi Anda tidak menggunakan algoritma RSA cacat yang memberikan NSA pintu belakang.) Sesi yang bergerak cepat di konferensi Black Hat 2014 menantang asumsi bahwa enkripsi sama dengan keamanan. Thomas Ptacek, salah satu pendiri Matasano Security, mencatat bahwa "tidak seorang pun yang mengimplementasikan kriptografi benar sepenuhnya, " dan melanjutkan untuk menunjukkan fakta itu secara rinci.

Tantangan Crypto

Sesi ini didasarkan pada tantangan kripto Matasano, digambarkan sebagai "latihan pembelajaran bertahap di mana peserta menerapkan 48 serangan berbeda terhadap konstruksi kriptografi yang realistis." Menurut Ptacek, lebih dari 10.000 orang telah berpartisipasi dalam tantangan ini.

Bagaimana awalnya? "Ada orang yang akhirnya saya pertengkarkan di Twitter, " kata Ptacek. "Aku ingin berbagi pengetahuan kripto, tapi aku tidak ingin mempersenjatai orang-orang itu dengan jargonku." Itu adalah asal dari tantangan. Peneliti Matasano menciptakan enam set delapan tantangan. Untuk menyelesaikan satu set, Anda harus berhasil mengimplementasikan delapan tantangan menggunakan bahasa pemrograman pilihan Anda. Setelah Anda berhasil menyelesaikan satu set, mereka akan mengirimkan Anda berikutnya. "Untuk mendapatkan jargon, Anda harus kode, " jelas Ptacek.

Diperlukan Matematika Kelas VIII

Anda mungkin berharap bahwa menerapkan dan memecahkan berbagai jenis kriptografi akan membutuhkan pengetahuan rinci tentang disiplin matematika misterius. Ptaceklisted lima topik kelas atas, di antaranya "bidang, set, dan cincin" dan "Feistel dan struktur jaringan SP." Dia melanjutkan untuk menjelaskan bahwa tidak satupun dari mereka diperlukan. Sebagian besar tantangan hanya membutuhkan sedikit lebih dari aljabar sekolah menengah, dan beberapa pengetahuan tentang pengkodean.

Mereka yang menerima tantangan menyerahkan karya mereka dalam beragam bahasa pemrograman yang memusingkan. Beberapa bahkan melangkah keluar dari ranah pemrograman sama sekali. Salah satu peserta mengirimkan solusi yang dikodekan sebagai lembar kerja Excel sederhana. Lain memecahkan salah satu tantangan menggunakan PostScript.

"Akan ada banyak detail dalam pembicaraan ini, dan kita akan bicara cepat, " kata Ptacek. "Kamu tidak akan keluar dari pengetahuan tentang bagaimana mengeksploitasi RSA ini, tapi aku bisa menunjukkan kepadamu betapa mudahnya hal itu. Biarkan saja matematika menyapu kamu seperti puisi ketidakamanan." Aku suka itu!

To Err Is Human

Presentasi berlanjut untuk memeriksa beberapa kesalahan kriptografi yang spesifik dan terdokumentasi dengan baik. Satu perusahaan memecahkan masalah efisiensi enkripsi dengan menetapkan parameter penting ke satu, hanya satu. Cryptocat, yang terkenal digunakan oleh Edward Snowden, tidak bertindak sejauh itu, tetapi dengan mengutak-atik kode untuk efisiensi, pengembang sangat mengurangi sumber daya yang diperlukan untuk memecahkan pesan terenkripsi. Dan ya, algoritma Cryptocat berada pada kondisi terburuk antara Mei 2012 dan Juni 2013.

Setelah beberapa saat, sesi itu memang cukup teknis. Saya hampir berhasil memahami teknik pintar yang dirancang orang-orang Matasano untuk memecahkan kartu kredit terenkripsi RSA. Ini melibatkan pengiriman nomor yang dipilih dengan hati-hati ke server enkripsi seolah-olah mereka adalah data yang dienkripsi dan mencatat reaksi. Setiap angka yang diterima sebagai valid membawa mereka lebih dekat untuk mendekripsi teks, dan juga mempersempit kisaran angka untuk upaya berikutnya. Demo yang dihasilkan adalah versi klasik dari enkripsi retak dengan gaya film, dengan huruf plaintext muncul satu per satu saat bilangan biner digulirkan.

Akankah Anda Mengambil Tantangan?

Jika Anda ingin menerima tantangan crypto, kirim catatan ke [email protected]. Perhatikan bahwa aturan satu per satu untuk set tantangan telah ditangguhkan. Anda sekarang bisa mendapatkan semua set sekaligus. Dalam sebuah pengumuman sebelum ceramah, Ptacek menjelaskan bahwa "Kami memberikan ceramah tentang tantangan di Black Hat, dan ingin cryptopal setia kami melihat semua tantangan sebelum pemegang saham Black Hat melakukannya." Ke depan, tim Matasano merencanakan situs web yang ditujukan untuk tantangan, dan bahkan sebuah buku.

Mungkin Anda tidak siap untuk benar-benar menerima tantangan, tetapi pelajarannya masih jelas. Setiap kali kita berasumsi bahwa solusi tertentu adalah yang terbaik dan yang terakhir, kita akan terbukti salah. Apa yang satu orang bisa buat, yang lain bisa pecah.

Enkripsi menjaga data Anda aman ... atau apakah itu?