r   e   k   l   a   m   a
r   e   k   l   a   m   a

Honey Encryption, czyli fałszywki skuteczną bronią w rękach kryptografów

Strona główna AktualnościOPROGRAMOWANIE

Do tej pory kryptografowie budując systemy zabezpieczeń danych poszukiwali przede wszystkim wydajnych i trudnych do złamania algorytmów szyfrowania. Osiągnięcia na tym polu są imponujące – popularny szyfr AES (Rijndael) na procesorach klasy Core i5 z rozszerzeniami kryptograficznymi AES-NI osiąga wydajność rzędu 700 MB/s, a najlepszy z ataków, pozwalający wydobycie klucza AES-256 w czasie czterokrotnie krótszym niż atak siłowy i tak wymaga przeprowadzenia 2254,4 operacji. Być może jednak na wydajności i odporności na ataki kryptografia nie powinna się kończyć. Badacze Ari Juels i Thomas Ristenpart twierdzą, że zupełnie zapomniano dziś o stosowaniu zmyłek i maskarady.

Opracowany przez wspomnianych autorów kryptosystem o nazwie Honey Encryption wykorzystuje podstępną, bardzo ciekawą sztuczkę. Zaszyfrowane dane otrzymują w nim dodatkową ochronę, polegającą na zwracaniu sfałszowanych danych za każdym użyciem błędnego klucza czy hasła. Jeśli w końcu napastnik zdoła siłową drogą znaleźć hasło czy klucz, to będzie jeszcze musiał znaleźć rzeczywiste dane wśród ogromnej ilości danych fałszywych.

Dzisiaj napastnik ma sytuację o wiele łatwiejszą: użycie niewłaściwego klucza deszyfrującego zwraca informacyjne „śmieci”, w niczym nie przypominające realnych danych. W ten sposób siłowe ataki przeciwko starszym, mniej bezpiecznym kryptosystemom pozwalają czasem na przejęcie ogromnych zbiorów cennej informacji – jako przykład autorzy podają tu choćby wyciek 150 mln par login-hasło z serwerów Adobe w październiku zeszłego roku.

Tymczasem dane zabezpieczone za pomocą Honey Encryption, nawet jeśli wyciekną, są dla napastników stosujących siłowe ataki niemal bezużyteczne. Każda próba deszyfracji zwraca realistycznie wyglądające dane. Jeśli np. zabezpieczone były numery kart kredytowych, to napastnik nie jest w stanie a priori wiedzieć, czy udało mu się złamać hasło – musi za każdym razem ręcznie sprawdzać, czy uzyskane numery są poprawne.

Szczególnie przydatnym obszarem zastosowań dla Honey Encryption miałyby być menedżery haseł – programy utrzymujące w swoich bazach dziesiątki, a nawet setki haseł do serwisów internetowych, aplikacji i usług, zabezpieczonych jednym hasłem głównym. Złamanie tego hasła daje napastnikowi możliwość przejęcia całej cyfrowej tożsamości ofiary. W wypadku potraktowanych „miodem” baz haseł poziom trudności takiego ataku rośnie o kilka rzędów wielkości. Ari Juels z tego powodu już pracuje nad stworzeniem bazujących na Honey Encryptions zabezpieczeń dla menedżerów LastPass i Dashlane.

Taki zwodniczy kryptosystem nie jest oczywiście panaceum na wszelkie zagrożenia. W wielu wypadkach niemożliwe jest pozyskanie wystarczającej wiedzy o szyfrowanych danych, by generować wiarygodne „fałszywki”. Nie wszystkie też szyfry mogą być opakowane w taką dodatkową warstwę zwodzenia. W Sieci jednak dostępne są już wystarczająco duże bazy haseł wyciekłych z rozmaitych serwisów, by na ich podstawie generować fałszywe, a wiarygodne dane przynajmniej dla szyfrowanych baz haseł.

Szczegóły techniczne działania Honey Encryption i przykładowe implementacje zaprezentowane mają być przez badaczy podczas konferencji Eurocrypt 2014, która odbędzie się w maju w Kopenhadze.

r   e   k   l   a   m   a
© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.