Доказательство случайности создает будущее цифровой безопасности

В попытке заблокировать новые угрозы сетевой безопасности исследователи из Принстонского университета разработали метод проверки силы генераторов случайных чисел, которые составляют основу большинства систем шифрования.

Почти весь безопасный онлайн-трафик - от покупок до коммуникаций - зависит от метода случайного генерирования числа, которое служит ключом для разблокировки зашифрованной связи. Проблема в том, что небольшие ошибки программирования могут сделать эти системы уязвимыми, и эти уязвимости часто очень трудно обнаружить.

«Всякий раз, когда вы подключаетесь к Amazon, чтобы предоставить им номер своей кредитной карты , всякий раз, когда вы регистрируетесь где-то через безопасное соединение, вы зависите от случайно генерируемых криптографических ключей», - сказал Эндрю Аппель, профессор компьютерной науки в Принстоне.

 «И если шпион, который пытается прочитать ваши сообщения или персонифицировать вас, догадается, какое случайное число использовал ваш компьютер, тогда он может узнать, какой ключ вы собираетесь использовать, и он может выдать себя за вас и читать ваши сообщения. "

В документе, представленном на конференции по вычислительной технике «Ассоциация вычислительных машин 2017», исследователи заявили, что невозможно определить, скомпрометирован ли генератор числа без изучения исходного кода генераторов (и без надлежащих методов, трудно гарантировать безопасность даже при доступе к коду). 

Программы, называемые генераторами детерминированных случайных битов или DRBG, обычно тестируются путем анализа их результатов либо статистически, либо с помощью набора тестов для проверки результатов. Но исследователи сказали, что эти методы не могут гарантировать правильную функцию генераторов.

«Несмотря на важность DRBG, их развитие не получило того внимания, которого оно заслуживает», - пишут исследователи в своей статье.

Хотя они часто называются генераторами случайных чисел, эти программы на самом деле являются генераторами псевдослучайных чисел. Программы - это алгоритмы, которые производят числа, которые кажутся случайными и могут практически работать как случайные числа для многих приложений. DRBG используют множество методов для создания действительно случайного числа, называемого семенем. Затем программа математически расширяет это семя до гораздо большего числа. Это число на самом деле не является случайным, но оно должно казаться таковым, чтобы противник не смог предсказать исход.

Исследователи заявили, что недостатки в числовых генераторах или их реализации вызвали несколько нарушений безопасности в последние несколько лет. «Многие исследователи безопасности обнаружили эти ошибки в генераторах случайных чисел», - сказала Кэтрин Йе., член исследовательской группы. Она сказала, что в некоторых случаях ошибки были случайными, а в других они были намеренно добавлены или использованы для нарушения безопасности.

Работая с коллегами из Принстона, Университета Джона Хопкинса и Oracle, Йе., Аппель и их коллеги изучили широко используемый генератор псевдослучайных чисел, называемый HMAC-DRBG. Они выпустили всеобъемлющее и проверенное машиной доказательство того, что HMAC-DRBG действительно безопасен.

Йе сказала, что последние результаты показывают, что есть смысл применять безопасные тесты и для других генераторов, хотя для этого потребуются новые наборы доказательств. 

Евгений Спаффорд, почетный профессор Центра образования и исследований в области обеспечения информации и безопасности Университета Пердью, сказал, что исследование является «продвижением, без сомнения».

По его словам, математическая уверенность обеспечивает «очень высокий уровень уверенности» в безопасности генератора чисел.

Йе полагает, что расширение исследований для других генераторов чисел является важным шагом.

«Я думаю, что наша работа может быть более эффективной, если кто-то расширит ее, применив к DRBG, которая используется более широко, чем HMAC-DRBG», - сказала она.

В ближайшие десятилетия будут разработаны новые криптографические инструменты с использованием генераторов чисел, и по мере их внедрения будет обсуждение, насколько они безопасны, говорит Аппель.


наукатехнологииpsk
25%
2
64
325.422 GOLOS
0
В избранное
kristina
Придет время и я сниму розовые очки, а пока.....
64
0

Зарегистрируйтесь, чтобы проголосовать за пост или написать комментарий

Авторы получают вознаграждение, когда пользователи голосуют за их посты. Голосующие читатели также получают вознаграждение за свои голоса.

Зарегистрироваться
Комментарии (1)
Сортировать по:
Сначала старые