Matemātikas sasniegumi palielina interneta drošības krīzes izredzes

Drošības pētnieki brīdināja, ka šifrēšanas sistēmas, kas tiek izmantotas tiešsaistes banku kontu aizsardzībai un kritiskās komunikācijas privātuma nodrošināšanai, var tikt atceltas tikai dažu gadu laikā. Melnās cepures konference vakar Lasvegasā. Pēdējo sešu mēnešu laikā veiktie sasniegumi matemātikas pētījumos varētu būt par pamatu praktiskiem, ātriem veidiem, kā atšifrēt šifrētus datus, kas mūsdienās tiek uzskatīti par nesalaužamiem.





Alekss Stamoss, tiešsaistes drošības uzņēmuma galvenais tehnoloģiju speciālists Artēmijs , vadīja prezentāciju, aprakstot, kā viņš un trīs citi drošības pētnieki pētīja jaunākās publikācijas no akadēmiskās kriptogrāfijas pētniecības salu pasaules, kas aptver tendences uzbrukumā izplatītām šifrēšanas shēmām.

Mūsu secinājums ir tāds, ka pastāv neliela, bet noteikta iespēja RSA un klasika Difijs-Helmans nevarēs izmantot šifrēšanas nolūkiem pēc četriem līdz pieciem gadiem, sacīja Stamoss, atsaucoties uz divām visbiežāk izmantotajām šifrēšanas metodēm.

Jebkuri mājieni, ka šīs metodes varētu tikt apdraudētas, ir jāuztver nopietni, sacīja Stamoss. Tos izmanto, lai aizsargātu banku pakalpojumus, tiešsaistes tirdzniecību un e-pastu, kā arī mehānismus, kas nodrošina, ka operētājsistēmu, piemēram, Windows un OSX, lejupielādētie atjauninājumi ir oriģināli. Stamoss sacīja, ka divu šifrēšanas metožu pārtraukšanas rezultāts būtu pilnīga uzticības neveiksme internetā.



RSA un Diffie-Hellman šifrēšana ir balstīta uz matemātisku izaicinājumu, kas pazīstams kā diskrētā logaritma problēma. Šo problēmu ir skaitļošanas ziņā grūti atrisināt, nodrošinot, ka šifrētos datus var ātri atšifrēt, tikai zinot slepeno atslēgu, kas izmantota to kodēšanai. Lai pārtrauktu RSA vai Diffie-Hellman šifrēšanu, mūsdienās ir jāizmanto milzīgi skaitļošanas resursi ievērojamu laika periodu.

Tomēr ir iespējams, ka varētu pastāvēt algoritmi, kas spēj ātri atrisināt diskrētā logaritma problēmu. Mēs paļaujamies uz to, ka šis efektīvais algoritms netiks atrasts, sacīja Džarveds Samuels, kriptogrāfs, kurš strādā drošības konsultācijās. ISEC partneri un prezentēts kopā ar Stamosu. Ja tiek atklāts, kriptosistēma ir bojāta.

Šī gada sākumā franču akadēmiskais Antuāns Žū publicēja divus rakstus, kas liecina, ka šādu algoritmu varētu atrast drīz. Tas ir liels darījums, jo 25 gadu laikā bija vērojams neliels progress, sacīja Samuels. Tas mudinās pētniekus rūpīgāk aplūkot problēmu un, visticamāk, radīs lielāku progresu.

Viens no iemesliem uzskatīt, ka progress būs ātrs, saka Samuels, ir tas, ka Žū sasniegumi nebija balstīti uz pilnīgi jaunu paņēmienu izgudrošanu. Drīzāk viņš izmantoja zināmus trikus, kas iepriekš nebija izmantoti šai konkrētajai problēmai. Semjuels atzīmē, ka RSA šifrēšanas pārvarēšana prasītu nedaudz vairāk papildu darba, jo tā ir mazāk atkarīga no diskrēta žurnāla problēmas nekā Difija-Helmana šifrēšana.

Tomēr Stamos uzskata, ka, tiklīdz matemātiķis publicē pietiekami labu tehniku, tā ātri tiks izmantota tiešsaistes uzbrukumos. Viņš teica, ka Džo vai kāds no šiem puišiem varētu gūt izrāvienu, iemest to kriptovalūtu adresātu sarakstos, un praktisko ieviešanu varētu izstrādāt vienas vai divu dienu laikā.

Filips Kurots, apsardzes uzņēmuma izpilddirektors Qualys , uzsvēra Stamos prezentāciju īsajā runā, kas trešdien atklāja Black Hat konferenci. Viņš teica, ka RSA protokols, kas ir interneta drošības pamats, visticamāk, tiks salauzts, viņš teica, norādot, ka, lai gan datoru drošības nozari balstīja tikai dažas atslēgu šifrēšanas shēmas, mēs ļoti lēni pielāgojamies. viņiem.

Stamos aicināja drošības nozari domāt par to, kā attālināties no Difija Helmena un RSA, un īpaši izmantot alternatīvu, kas pazīstama kā eliptiskās līknes kriptogrāfija (ECC), kas ir ievērojami jaunāks, taču, lai nodrošinātu šifrētus datus, ir atkarīgs no sarežģītākām matemātiskām problēmām.

ASV Nacionālā drošības aģentūra jau gadiem ilgi ir ieteikusi ECC kā visuzticamāko pieejamo kriptogrāfijas aizsardzību. 2005. gadā aģentūra izlaida rīkkopu ar nosaukumu SuiteB, kas ietver šifrēšanas algoritmus, kas jāizmanto valdības informācijas aizsardzībai. SuiteB izmanto ECC un izvairās no RSA un Diffie-Hellman. NSA iekšēji izmanto klasificētu šifrēšanas rīku komplektu SuiteA, un tiek uzskatīts, ka tā pamatā ir arī ECC.

Krievijas valdība arī ir atteikusies no RSA attiecībā uz sensitīviem datiem un ir deklasificējusi savu šifrēšanas rīku komplektu, kas izmanto ECC. Kad Krievijai vajadzēja atjaunot .ru tīmekļa domēnu identificēšanas metodi, tā uzstāja, ka jāizmanto tās ECC algoritmi.

ECC ieviešanu aizsāka un patentēja uzņēmums ar nosaukumu Certicom kas tagad ir tālruņu ražotāja BlackBerry meitasuzņēmums. Lai gan ASV valdība ir iegādājusies licences, kas ļauj pašai un tās līgumslēdzējiem izmantot ECC, citiem uzņēmumiem, kas vēlas izmantot ECC, būs jāslēdz dārgi darījumi ar Certicom, lai izvairītos no tiesas prāvām. 2007. gadā Certicom iesūdzēja Sony par ECC izmantošanu BlueRay DVD programmatūrā bez patentu licencēšanas. Sony sākotnēji mēģināja panākt, lai daži patenti tiktu atzīti par spēkā neesošiem tiesā, bet pēc tam 2009. gadā panāca izlīgumu.

Stamos aicināja BlackBerry mainīt savu politiku attiecībā uz Certicom patentiem, norādot, ka tas varētu ļaut tos atklāti izmantot SuiteB balstītām sistēmām, kurās izmanto ECC, taču joprojām gūt ievērojamus ieņēmumus no citiem lietošanas gadījumiem. Pasaulē nav neviena uzņēmuma, kam šobrīd būtu tāda iespēja, kāda ir BlackBerry, viņš sacīja, piebilstot, ka, ja RSA un Difija-Helmane tiktu salauzti, ASV valdība, iespējams, atceltu Certicom patentus valsts interesēs. Ja notiks kriptopokalipse, šie patenti nebūs spēkā.

Daži no drošības aprindām domā, ka NSA kriptogrāfi, iespējams, jau ir izdomājuši, kā izjaukt daudzas izplatītas šifrēšanas shēmas. Pagājušajā gadā atklātā izsmalcinātā Flame ļaunprogrammatūra ietvēra pilnīgi jaunu matemātisko paņēmienu, lai pārvarētu šifrēšanas metodi, ko izmanto, lai pārbaudītu, vai daži programmatūras atjauninājumi ir no Microsoft, ļaujot Flame maskēties kā likumīgai programmatūrai. Tiek uzskatīts, ka Flame ir izveidojusi valdība, iespējams, ASV, un Stamoss jokoja, ka tas radās no kāda, kura pagrabā atradās ievērojami skaitļošanas resursi Merilendā, štatā, kurā atrodas NSA un daudzi aizsardzības darbuzņēmēji.

Tomēr Moksija Marlinspika, uzņēmuma līdzdibinātāja Whisper Systems , kas izstrādā lietotnes šifrētiem zvaniem un īsziņām viedtālruņos MIT tehnoloģiju apskats pirms Stamosa runas, viņš uzskatīja, ka kriptogrāfijas pētījumu vadošā mala lielākoties paliek atklāta. Es nedomāju, ka viņi ir mums priekšā, viņš teica, atsaucoties uz valdību. Marlinspiks norādīja, ka federālās atalgojuma skalas, kas ir publiskas, ievērojami atpaliek no tām, kas ir privātajā sektorā, un tas, viņaprāt, saglabā labākos kriptogrāfijas talantus privātajā sektorā.

paslēpties