211service.com
Medus šifrēšana apgrūtinās uzbrucējus ar viltotiem noslēpumiem
Āri Juels , neatkarīgs pētnieks, kurš iepriekš bija datordrošības uzņēmuma RSA galvenais zinātnieks, uzskata, ka mūsu sensitīvo datu aizsardzības kriptogrāfijā trūkst kaut kā svarīga: viltības.
Juels saka, ka mānekļi un maldināšana ir patiešām nepietiekami izmantoti rīki datora pamatdrošībā. Kopā ar Tomass Ristenparts Viskonsinas Universitātē viņš ir izstrādājis jaunu šifrēšanas sistēmu ar viltīgu svītru. Tas nodrošina šifrētiem datiem papildu aizsardzības līmeni, apkalpojot viltotus datus, reaģējot uz katru nepareizu paroles vai šifrēšanas atslēgas minējumu. Ja uzbrucējs galu galā uzminēs pareizi, patiesie dati ir jāzaudē viltoto datu pūlī.
Jaunā pieeja varētu būt vērtīga, ņemot vērā to, cik bieži lielas, šifrētas sensitīvu datu glabātuves nonāk noziedznieku rokās. Piemēram, 2013. gada oktobrī no Adobe serveriem tika izņemti aptuveni 150 miljoni lietotājvārdu un paroļu.
Pēc šifrētu datu iegūšanas noziedznieki bieži izmanto programmatūru, lai atkārtoti uzminētu paroli vai kriptogrāfisko atslēgu, kas izmantota to aizsardzībai. Parasto kriptogrāfijas sistēmu dizains ļauj viegli uzzināt, kad šāds minējums ir pareizs vai nē: nepareiza atslēga rada izkropļotu haosu, nevis atpazīstamu neapstrādātu datu gabalu.
Juels un Ristenpart pieeja, kas pazīstama kā Honey Encryption, apgrūtina uzbrucēja izpratni par to, vai viņi ir pareizi uzminējuši paroli vai šifrēšanas atslēgu. Ja tiek izmantota nepareiza atslēga, lai atšifrētu kaut ko, ko aizsargā viņu sistēma, Honey Encryption programmatūra ģenerē viltotu datu gabalu, kas atgādina patiesos datus.
Ja uzbrucējs izmantotu programmatūru, lai, piemēram, veiktu 10 000 mēģinājumus atšifrēt kredītkartes numuru, viņš atgūtu 10 000 dažādu viltotu kredītkaršu numuru. Katra atšifrēšana izskatīsies ticama, saka Juels. Uzbrucējs nevar a priori atšķirt, kas ir pareizs. Juels iepriekš strādāja ar Ronu Rivestu, RSA, lai izstrādātu sistēmu ar nosaukumu Mīļie vārdi lai aizsargātu paroļu datu bāzes, arī piepildot tās ar viltotām parolēm.
Juels un Ristenpart prezentēs rakstu par medus šifrēšanu Eirokripts kriptogrāfijas konferencē vēlāk šogad. Juels arī strādā pie sistēmas izveides, pamatojoties uz to, lai aizsargātu datus, ko glabā paroļu pārvaldnieka pakalpojumi, piemēram, LastPass un Dashlane . Šajos pakalpojumos visas personas dažādās paroles tiek glabātas šifrētā formā, ko aizsargā viena galvenā parole, lai programmatūra varētu tās automātiski ievadīt vietnēs.
Paroļu pārvaldnieki ir garšīgs mērķis noziedzniekiem, saka Juels. Viņš uzskata, ka daudzi cilvēki izmanto nedrošu galveno paroli, lai aizsargātu savu kolekciju. To izveides veids attur no spēcīgas paroles lietošanas, jo jums tā ir pastāvīgi jāievada — daudzos gadījumos arī mobilajā ierīcē.
Juels prognozē, ka, ja noziedznieki iegūtu lielu šifrētu paroļu krātuvju kolekciju, viņi, iespējams, varētu bez lielām grūtībām atbloķēt daudzas no tām, uzminot galvenās paroles. Bet, ja šīs glabātuves būtu aizsargātas ar Honey Encryption, katrs nepareizs mēģinājums atšifrēt glabātuvi radītu viltotu.
Hristo Bojinovs, mobilās programmatūras uzņēmuma izpilddirektors un dibinātājs Anfacto , kurš iepriekš kā drošības pētnieks ir strādājis pie paroļu glabātuvju aizsardzības problēmas, saka, ka Honey Encryption varētu palīdzēt samazināt viņu ievainojamību. Taču viņš atzīmē, ka ne visu veidu datus būs viegli aizsargāt šādā veidā, jo ne vienmēr ir iespējams uzzināt šifrētos datus pietiekami detalizēti, lai radītu ticamus viltojumus. Ne visas autentifikācijas vai šifrēšanas sistēmas padodas “izsmalcinātam”.
Juels piekrīt, taču ir pārliecināts, ka līdz šim internetā ir noplūdis pietiekami daudz paroļu izgāztuves, lai būtu iespējams izveidot viltojumus, kas precīzi atdarina īstu paroļu kolekcijas. Pašlaik viņš strādā pie viltus paroļu glabātuves ģeneratora izveides, kas nepieciešams Honey Encryption, ko izmantot paroļu pārvaldnieku aizsardzībai. Šis ģenerators izmantos datus no nelielas nopludinātu paroļu pārvaldnieka glabātuvju kolekcijas, vairākām lielām nopludinātu paroļu kolekcijām un reālās pasaules paroļu izmantošanas modeli, kas iebūvēts jaudīgā paroļu uzlautājā.