Video: Deine Daten sind im Netz! | c't uplink 31.3 (Dezember 2024)
In der Post-Snowden-Ära sind viele Menschen zu der Überzeugung gelangt, dass die einzige Möglichkeit zur Wahrung der Privatsphäre darin besteht, alles zu verschlüsseln. (Nun, solange Ihre Verschlüsselung nicht den fehlerhaften RSA-Algorithmus verwendet, der dem NSA eine Hintertür verlieh.) Eine schnelle Sitzung auf der Black Hat 2014-Konferenz stellte die Annahme in Frage, dass Verschlüsselung gleich Sicherheit ist. Thomas Ptacek, Mitbegründer von Matasano Security, bemerkte, dass "niemand, der Kryptografie einsetzt, es völlig richtig macht", und demonstrierte dies im Detail.
Die Crypto Challenge
Diese Sitzung basierte auf Matasanos Crypto-Herausforderung, die als "inszenierte Lernübung, bei der die Teilnehmer 48 verschiedene Angriffe gegen realistische kryptografische Konstruktionen ausführten" beschrieben wurde. Laut Ptacek haben mehr als 10.000 Menschen an der Herausforderung teilgenommen.
Wie hat es angefangen? "Es gibt Leute, mit denen ich auf Twitter streite", sagte Ptacek. "Ich möchte Kryptowissen teilen, aber ich möchte diese Leute nicht mit meinem Jargon ausrüsten." Das war der Ursprung der Herausforderung. Matasano-Forscher erstellten sechs Sätze von acht Herausforderungen. Um einen Satz zu vervollständigen, müssen Sie alle acht Herausforderungen mit der Programmiersprache Ihrer Wahl erfolgreich implementieren. Nachdem Sie einen Satz erfolgreich abgeschlossen haben, senden sie Ihnen den nächsten. "Um den Jargon zu bekommen, muss man codieren", erklärte Ptacek.
Mathematik der achten Klasse erforderlich
Man könnte erwarten, dass das Implementieren und Knacken verschiedener Arten von Kryptografie detaillierte Kenntnisse der arkanen mathematischen Disziplinen erfordert. Ptace listete fünf High-End-Themen auf, darunter "Felder, Mengen und Ringe" und "Feistel- und SP-Netzwerkstruktur". Er fuhr fort zu erklären, dass keine von ihnen erforderlich sind. Die meisten Herausforderungen erfordern wenig mehr als die Algebra der Highschool und ein wenig Programmierkenntnisse.
Diejenigen, die sich der Herausforderung stellten, reichten ihre Arbeit in einer schwindelerregenden Vielfalt von Programmiersprachen ein. Einige traten sogar aus dem Bereich der Programmierung heraus. Ein Teilnehmer reichte eine Lösung ein, die als einfache Excel-Tabelle codiert war. Ein anderer löste eine der Herausforderungen mit PostScript.
"Es wird eine Menge Details in diesem Vortrag geben, und wir werden uns schnell unterhalten", sagte Ptacek. "Sie werden nicht herauskommen, wenn Sie wissen, wie man RSA ausnutzt, aber ich kann Ihnen zeigen, wie einfach es ist. Lassen Sie sich einfach von der Mathematik überraschen wie von der Poesie der Unsicherheit." Ich mag es!
Irren ist menschlich
In der Präsentation wurden einige spezifische und gut dokumentierte kryptografische Fehler untersucht. Ein Unternehmen löste das Problem der Verschlüsselungseffizienz, indem es einen wesentlichen Parameter auf einen einzigen einstellte. Cryptocat, das bekanntermaßen von Edward Snowden verwendet wird, ist nicht ganz so weit gegangen, aber durch die Optimierung des Codes für die Effizienz haben die Entwickler die Ressourcen, die zum Knacken verschlüsselter Nachrichten erforderlich sind, erheblich reduziert. Und ja, der Cryptocat-Algorithmus war zwischen Mai 2012 und Juni 2013 am schlechtesten.
Nach einem gewissen Punkt wurde die Sitzung tatsächlich ziemlich technisch. Ich habe es fast geschafft, eine clevere Technik zu verstehen, die die Matasano-Leute entwickelt haben, um RSA-verschlüsselte Kreditkarten zu knacken. Es ging darum, sorgfältig ausgewählte Nummern an den Verschlüsselungsserver zu senden, als ob sie verschlüsselte Daten wären, und die Reaktion zu notieren. Jede als gültig akzeptierte Zahl brachte sie der Entschlüsselung des Textes näher und verengte auch den Zahlenbereich für den nächsten Versuch. Die resultierende Demo war eine klassische Version von Cracking Encryption im Filmstil, bei der Klartextbuchstaben einzeln als Binärbytes angezeigt wurden, die vorbeirollt wurden.
Nimmst du die Herausforderung an?
Wenn Sie die Crypto-Herausforderung annehmen möchten, senden Sie eine Notiz an [email protected]. Beachten Sie, dass die strenge Einzelregel für Herausforderungssätze ausgesetzt wurde. Sie können jetzt alle Sets auf einmal erhalten. In einer Ankündigung vor dem Vortrag erklärte Ptacek: "Wir halten einen Vortrag über die Herausforderungen bei Black Hat und möchten, dass unsere loyalen Kryptopalen alle Herausforderungen sehen, bevor Black Hat-Ticketholder dies tun." Für die Zukunft plant das Matasano-Team eine Website, die sich den Herausforderungen widmet, und sogar ein Buch.
Vielleicht sind Sie nicht in der Lage, die Herausforderung tatsächlich anzunehmen, aber die Lektion ist immer noch klar. Jedes Mal, wenn wir davon ausgehen, dass eine bestimmte Lösung das A und O ist, wird uns das Gegenteil bewiesen. Was eine Person machen kann, kann eine andere brechen.
