Kimlik doğrulama fikri gelişmiş ancak henüz yerine getirilmemiştir
ANALİZ Son on yılda teknolojideki ilerlemeler, akademisyenlerin tek seferlik programlar oluşturma konusunda ilerleme kaydetmelerini sağlamıştır.
Orijinal olarak Crypto ’08 konferansında sunulan tek seferlik programlar (OTP’ler), yalnızca bir kez çalıştırılabilen, onları çeşitli uygulamalar ve kullanım durumları için yararlı kılan özel bir özellik olan, kriptografik olarak gizlenmiş bir bilgisayar programını tanımlar.
OTP’ler ilk olarak Goldwasser, Kalai ve Rothblum araştırmacıları tarafından önerildi.
Genel fikir, ‘Alice’in ‘Bob’a şu şekilde şifrelenmiş bir bilgisayar programı gönderebilmesidir:
- Bob, programı herhangi bir geçerli girişle herhangi bir bilgisayarda çalıştırabilir ve doğru bir sonuç elde edebilir. Bob, programı farklı girdilerle yeniden çalıştıramaz.
- Bob, çalıştırarak gizli program hakkında hiçbir şey öğrenemez.
Yalnızca bir kez çalıştırılan bir program birden çok sanal makineye yüklemek ve her birini farklı girdilerle denemek önemsiz olacağından, yalnızca bir kez çalıştırma gereksinimi sorun yaratır. Bu, teknolojinin tüm öncüllerini ihlal eder.
Bu (oldukça bariz) hack’i engellemenin orijinal fikri, gizli programın yalnızca, Alice’in Bob’a gönderdiği gizli programın kopyasını çalıştırmak için tek seferlik kuralı bir şekilde uygulayan fiziksel bir belirteç eşlik etmesi durumunda çalışmasına izin vermekti.
Bu tür jetonlar hiç yapılmadı, bu yüzden tüm fikir on yıldan fazla bir süredir uykuda kaldı.
OTP canlandı
Ancak şimdi, Johns Hopkins Üniversitesi ve NTT Research’ten bir bilgisayar bilimci ekibi, cep telefonlarında ve bulut tabanlı hizmetlerde bulunan çiplerde bulunan işlevlerin bir kombinasyonunu kullanarak tek seferlik programlar oluşturmanın nasıl mümkün olabileceğine dair temelleri attı.
Daha spesifik olarak, ‘karşı kilitli kutu’ teknolojisini hacklediler ve kullanımını istenmeyen bir amaç için uyguladılar. Sayaç kilit kutuları, korumalı bilgiler silinmeden önce sınırlı sayıda yanlış parola tahminini (genellikle 10) zorunlu kılarak, kullanıcı tarafından belirlenen bir parola altında bir şifreleme anahtarını korur.
iPhone’lardaki veya Android akıllı telefonlardaki donanım güvenlik modülü, gerekli temel işlevselliği sağlar, ancak Bob’un sistemi aldatmaya çalışmasını önleyen teknolojinin etrafına sarılması gerekir – araştırmanın odak noktası.
bozuk devreler
Araştırmacıların çalışması, tek seferlik programlar oluşturmak için kullanılabilecek bir yapı olan sözde ‘bozuk devreler’ oluşturmak için birden fazla karşı kilit kutusunun nasıl zincirlenebileceğini gösteriyor.
Bu araştırmayı açıklayan, ‘Emtia Donanımından Bir Kerelik Programlar’ başlıklı bir makale, yaklaşan Kriptografi Teorisi konferansında (TCC 2022) sunulacaktır.
Bir araştırmacı, OTP’ler için en net uygulamanın kaba kuvvet saldırılarını önlemek olduğunu söylüyor
Donanım yolu indirimli
Tek seferlik programlar oluşturmanın alternatif bir yolu, kağıt tarafından ele alınan, kurcalamaya dayanıklı donanım kullanmaktır. Ancak, Johns Hopkins Üniversitesi’nde profesör ve ortaklardan biri olan kriptograf Matthew Green’in bir blog yazısında açıklandığı gibi, kurcalamaya dayanıklı donanım “çok güçlü ve pahalı (karmaşık değil) genel amaçlı bir CPU’ya sahip bir belirteç” gerektirecektir. – makalenin yazarları.
“Bu maliyetli ve daha kötü olur, [and] Green, büyük bir saldırı yazılımı ve donanım saldırı yüzeyi yerleştirecekti – Intel’in SGX sayesinde son zamanlarda çok şey öğrendiğimiz ve araştırmacılar tarafından kırılmaya devam eden bir şey, “diye açıklıyor Green.
İLİŞKİLİ Kuantum sonrası kriptografi, standardizasyon kilometre taşına ulaştı
Johns Hopkins araştırmacıları, donanıma veya blok zinciri artı kriptografik araç tabanlı teknolojinin potansiyel kullanımına güvenmek yerine, istendiğinde tüküren ve gizli anahtarları silen bir tür bellek cihazı veya belirteç oluşturdular. Bu yapıyı yapmak için yüzlerce kilit kutusu gerekiyor – 128 bitlik bir sır için en az 256, araştırmacıların henüz üstesinden gelemediği büyük bir dezavantaj.
Pratik açıdan, birisi birden fazla iCloud veya Google hesabı oluşturarak ve ardından Apple’ın iCloud Anahtar Kasasını kullanarak bu teknolojiyi gerçekleştirebilir. [pdf] veya her biri için bir ‘yedekleme anahtarı’ depolamak üzere Google’ın Titan Yedekleme hizmeti. Bu zarif olmaktan başka bir şey değil ve John Hopkins’teki bilgisayar bilimcileri, diğer araştırmacıları daha düzgün planlar bularak araştırmalarını ilerletmeye davet ediyor.
Kaba kuvvet saldırılarına karşı bir kale
Gazetenin baş yazarı Johns Hopkins Üniversitesi’nden Harry Eldridge, şunları söyledi: Günlük Swig tek seferlik programların birden fazla kullanımı olabilir.
Eldridge, “Tek seferlik bir programın (OTP) en net uygulaması, parolalara karşı kaba kuvvet saldırılarını önlemektir” dedi. “Örneğin, birine şifrelenmiş bir dosya göndermek yerine, ona doğru şifre verildiğinde dosyayı veren bir OTP gönderebilirsiniz. Ardından, diğer uçtaki kişi parolasını OTP’ye girebilir ve dosyayı alabilir.
“Ancak, OTP’nin tek seferlik özelliği nedeniyle, kötü niyetli bir aktör, sonsuza kadar kilitlenmeden önce şifreyi tahmin etmek için yalnızca bir şansa sahip olur, bu da çok daha zayıf şifreler anlamına gelir. [such as a four-digit PIN] aslında oldukça güvenli olabilir,” diye ekledi Eldridge.
Daha genel olarak bu, diğer kimlik doğrulama biçimlerine uygulanabilir – örneğin, parmak izi veya yüz taraması gibi bir tür biyometrik eşleşme kullanarak bir dosyayı korumak istiyorsanız.
‘Otonom’ fidye yazılımı riski
Yaklaşımın yarattığı bir tehlike, kötü adamların bu tekniği ‘otonom’ fidye yazılımı geliştirmek için kullanabilmeleridir.
Eldridge’e göre, “Genellikle fidye yazılımının, ödül ödendikten sonra şifre çözme anahtarlarını almak için bir şekilde ‘eve telefon etmesi’ gerekir, bu da saldırıyı gerçekleştiren gruba bir tehlike unsuru ekler. “Ancak tek seferlik programları kullanabilselerdi, fidye yazılımına, belirli bir adrese bir miktar bitcoin ödendiğine dair kanıt verildiğinde şifre çözme anahtarlarını veren bir OTP’yi içerebilirler ve bu da eve telefon etme ihtiyacını tamamen ortadan kaldırır. tüm.”
En son şifreleme güvenliği haberlerinin devamını okuyun
Eldridge’e göre, şu ana kadar çalışmayla ilgili geri bildirimler “genel olarak olumlu” oldu.
“[Most agree] OTP’lerin ilginç, ancak çoğunlukla gerçekleştirilmemiş bir kriptografik fikir olduğu motivasyonuyla, en yaygın eleştiri, inşaatımızın gerektirdiği kilitli kutu sayısının hala oldukça yüksek olması, “dedi Eldridge. Günlük Swig. “Muhtemelen daha az sayıda kullanılmasına izin verecek kilitli kutuları daha akıllıca kullanmanın bir yolu var.”
Surrey Üniversitesi’nde bilgisayar bilimcisi olan Profesör Alan Woodward araştırmayı memnuniyetle karşıladı.
Prof. Woodward, “Bu güzel bir makale ve nihai cevap olduğunu iddia etmiyor: başkalarının aynı şeyi yapmanın daha iyi yollarını bulabileceği umuduyla bir çözüm sunuyor” dedi. Günlük Swig.
“Eğer ulaşılabilirse bu, tek seferlik programların uygulanabilir hale geldiği anlamına gelir ve bu, birisinin programınızı çalıştırabilmesini, ancak programın nasıl çalıştığını öğrenmek için diferansiyel analiz yapamamasını istediğiniz ilginç bir uygulama dizisi açar.”
ÖNERİLEN Mesaj şifreleme güvencelerini bozan matris adres kusurları