Vidéo: AES RSA PGP GPG SHA - Qu'est-ce que c'est ? (Novembre 2024)
Après Snowden, beaucoup de gens en sont venus à croire que le seul moyen de préserver la confidentialité est de tout chiffrer. (Eh bien, tant que votre cryptage n'utilise pas l'algorithme RSA imparfait qui a fourni à la NSA une porte dérobée.) Une session très dynamique à la conférence Black Hat 2014 a mis en doute l'hypothèse selon laquelle le cryptage est synonyme de sécurité. Thomas Ptacek, cofondateur de Matasano Security, a fait remarquer que "personne qui implémente la cryptographie ne le comprend parfaitement" et a ensuite démontré ce fait en détail.
Le défi de la crypto
Cette session était basée sur le défi cryptographique de Matasano, décrit comme "un exercice d'apprentissage par étapes dans lequel les participants ont mis en œuvre 48 attaques différentes contre des constructions cryptographiques réalistes". Selon Ptacek, plus de 10 000 personnes ont participé au défi.
Comment cela a-t-il commencé? "Il y a des gens avec qui je finis par me disputer sur Twitter", a déclaré Ptacek. "Je veux partager les connaissances en crypto, mais je ne veux pas armer ces personnes de mon jargon." C'était l'origine du défi. Les chercheurs de Matasano ont créé six séries de huit défis. Pour compléter un jeu, vous devez implémenter avec succès les huit défis en utilisant le langage de programmation de votre choix. Une fois que vous avez terminé avec succès une série, ils vous enverront la suivante. "Pour obtenir le jargon, vous devez coder", a expliqué Ptacek.
Huitième année Mathématiques requises
Vous pourriez vous attendre à ce que la mise en oeuvre et la résolution de divers types de cryptographie nécessitent une connaissance approfondie des disciplines mathématiques obscures. Ptacek a répertorié cinq sujets haut de gamme, parmi lesquels "champs, ensembles et anneaux" et "structure de réseau Feistel et SP". Il a ensuite expliqué qu'aucun d'entre eux n'est requis. La plupart des défis ne nécessitent guère plus que l'algèbre du lycée et une certaine connaissance du codage.
Ceux qui ont relevé le défi ont soumis leur travail dans une variété vertigineuse de langages de programmation. Certains ont même complètement quitté le domaine de la programmation. Un participant a soumis une solution codée comme une simple feuille de calcul Excel. Un autre problème résolu avec PostScript.
"Il y aura beaucoup de détails dans cette discussion, et nous parlerons vite", a déclaré Ptacek. "Vous ne sortirez pas de cette situation en sachant comment exploiter RSA, mais je peux vous montrer à quel point c'est simple. Laissez simplement le calcul vous submerger, comme la poésie de l'insécurité." J'aime ça!
L'erreur est humaine
La présentation a ensuite examiné certaines erreurs de chiffrement spécifiques et bien documentées. Une entreprise a résolu le problème de l'efficacité du cryptage en définissant un paramètre essentiel à un, un seul. Cryptocat, très utilisé par Edward Snowden, n’est pas allé aussi loin, mais en modifiant le code pour plus d’efficacité, les développeurs ont considérablement réduit les ressources nécessaires pour déchiffrer les messages chiffrés. Et oui, l'algorithme Cryptocat était à son pire entre mai 2012 et juin 2013.
Après un point, la session est en effet devenue assez technique. J'ai presque réussi à comprendre une technique intelligente que les gens de Matasano ont conçue pour casser les cartes de crédit cryptées RSA. Cela impliquait de soumettre des numéros soigneusement sélectionnés au serveur de chiffrement comme s'il s'agissait de données chiffrées et de noter la réaction. Chaque numéro accepté comme valide les rapprochait du déchiffrement du texte et réduisait également la plage de numéros pour la prochaine tentative. La démo qui en a résulté était une version classique du cryptage à la manière d'un film, avec des lettres en texte clair apparaissant une à une sous forme d'octets binaires défilant.
Voulez-vous relever le défi?
Si vous souhaitez relever le défi crypto, envoyez une note à [email protected]. Notez que la règle stricte «un à la fois» pour les jeux d’épreuve a été suspendue. Vous pouvez maintenant obtenir tous les ensembles à la fois. Dans une annonce avant la conférence, Ptacek a expliqué: "Nous donnons une conférence sur les défis de Black Hat et souhaitons que nos cryptopales fidèles voient tous les défis qui attendent les détenteurs de la marque Black Hat." À l'avenir, l'équipe de Matasano prévoit un site Web consacré aux défis, et même un livre.
Peut-être n'êtes-vous pas équipé pour relever le défi, mais la leçon reste claire. Chaque fois que nous supposons qu'une solution particulière est la solution idéale, nous aurons tort. Ce qu'une personne peut faire, une autre peut casser.
