Video: Cifrado de datos: qué es y cómo puede ayudarte a proteger tu información en Internet (Noviembre 2024)
En la era posterior a Snowden, muchas personas han llegado a creer que la única forma de mantener la privacidad es encriptando todo. (Bueno, siempre que su cifrado no utilice el algoritmo RSA defectuoso que le dio a la NSA una puerta trasera). Una sesión de rápido movimiento en la conferencia Black Hat 2014 desafió la suposición de que el cifrado es igual a la seguridad. Thomas Ptacek, cofundador de Matasano Security, señaló que "nadie que implemente la criptografía lo haga completamente bien", y luego demostró ese hecho en detalle.
El desafío criptográfico
Esta sesión se basó en el desafío criptográfico de Matasano, descrito como "un ejercicio de aprendizaje por etapas en el que los participantes implementaron 48 ataques diferentes contra construcciones criptográficas realistas". Según Ptacek, más de 10, 000 personas han participado en el desafío.
¿Cómo comenzó? "Hay personas con las que termino discutiendo en Twitter", dijo Ptacek. "Quiero compartir conocimiento criptográfico, pero no quiero armar a esas personas con mi jerga". Ese fue el origen del desafío. Los investigadores de Matasano crearon seis conjuntos de ocho desafíos. Para completar un conjunto, debe implementar con éxito los ocho desafíos utilizando el lenguaje de programación que elija. Después de completar con éxito un conjunto, te enviarán el siguiente. "Para obtener la jerga, hay que codificar", explicó Ptacek.
Matemáticas de octavo grado requeridas
Puede esperar que implementar y descifrar varios tipos de criptografía requiera un conocimiento detallado de disciplinas matemáticas arcanas. Ptacek enumeró cinco temas de alto nivel, entre ellos "campos, conjuntos y anillos" y "Estructura de red de Feistel y SP". Continuó explicando que ninguno de ellos es obligatorio. La mayoría de los desafíos requieren poco más que álgebra de secundaria, y algunos conocimientos de codificación.
Quienes aceptaron el desafío presentaron su trabajo en una vertiginosa variedad de lenguajes de programación. Algunos incluso salieron del ámbito de la programación por completo. Un participante presentó una solución codificada como una simple hoja de cálculo de Excel. Otro resolvió uno de los desafíos usando PostScript.
"Habrá muchos detalles en esta charla, y hablaremos rápido", dijo Ptacek. "No saldrás de esto sabiendo cómo explotar RSA, pero puedo mostrarte lo sencillo que es. Solo deja que la matemática te cubra como la poesía de la inseguridad". ¡Me gusta eso!
Errar es humano
La presentación pasó a examinar algunos errores criptográficos específicos y bien documentados. Una empresa resolvió el problema de la eficacia del cifrado estableciendo un parámetro esencial en uno, solo uno. Cryptocat, famoso por Edward Snowden, no llegó tan lejos, pero al ajustar el código para mejorar la eficiencia, los desarrolladores redujeron enormemente los recursos necesarios para descifrar mensajes cifrados. Y sí, el algoritmo Cryptocat fue peor entre mayo de 2012 y junio de 2013.
Después de un punto, la sesión se volvió bastante técnica. Casi logré entender una técnica inteligente que la gente de Matasano ideó para romper las tarjetas de crédito cifradas con RSA. Implicaba enviar números cuidadosamente seleccionados al servidor de cifrado como si fueran datos cifrados y observar la reacción. Cada número que fue aceptado como válido los acercó a descifrar el texto, y también redujo el rango de números para el siguiente intento. La demostración resultante fue una versión clásica de estilo de película de cifrado craqueo, con letras de texto sin formato que aparecen una por una a medida que se desplazan los bytes binarios.
¿Tomarás el desafío?
Si desea aceptar el desafío de cifrado, envíe una nota a [email protected]. Tenga en cuenta que se ha suspendido la estricta regla de uno a la vez para los conjuntos de desafíos. Ahora puede obtener todos los conjuntos a la vez. En un anuncio antes de la charla, Ptaceke explicó que "Estamos dando una charla sobre los desafíos en Black Hat, y queremos que nuestros criptopales leales vean todos los desafíos antes de que los titulares de boletos de Black Hat lo hagan". En el futuro, el equipo de Matasano planea un sitio web dedicado a los desafíos, e incluso un libro.
Tal vez no estés equipado para aceptar el desafío, pero la lección aún está clara. Cada vez que asumimos que una solución particular es el principio y el final, se demostrará que estamos equivocados. Lo que una persona puede hacer, otra puede romper.
