L'NSA elabora la crittografia e come potrei proteggermi da questo tipo di attacchi? [chiuso]

Naviga le tue risposte
3

Per amore di questa domanda, supponiamo che io sia attento alla sicurezza fino al paranoico.

Sono preoccupato che le versioni precedenti di GnuPG possano essere compromesse a causa delle chiavi di crittografia RSA a causa di attacchi noti su RSA prima. Ho fatto delle ricerche e ho elencato le mie ricerche qui sotto.

  • Nell'agosto del 2007, hanno mostrato Dan Shumow e Niels Ferguson di Microsoft che le costanti potrebbero essere costruite in modo tale da creare a backdoor cleptografica nell'algoritmo.
  • Nel 2013, la Reuters ha riferito che i documenti rilasciati da Edward Snowden indicavano che la NSA aveva pagato 10 milioni di dollari di RSA Security per rendere Dual_EC_DRBG l'opzione predefinita nel loro software di crittografia e sollevato ulteriori dubbi sul fatto che l'algoritmo potesse contenere una backdoor per la NSA.

Fare un exploit o un attacco potrebbe non essere sufficiente, quindi l'NSA dovrà utilizzare più exploit contemporaneamente.

  • Usando zero giorni nei browser web per eseguire codice arbitrario complesso per installare generatori di numeri casuali kleptographic senza che il proprietario realizzi l'attacco.
  • Dopo che la NSA ha installato la backdoor, il modello Internet della vittima viene registrato e analizzato da un sistema remoto complesso che sa quando l'utente comunicherà con altri contatti che a sua volta strappa le informazioni crittografate che sono state crittografate con la chiave di crittografia che era generato dal RNG cleptografico e invia immediatamente le informazioni decodificate in una posizione remota in cui può essere letta.
  • L'NSA ha aggirato la crittografia come SSL e RSA. Quello che ho trovato interessante è che la NSA potrebbe aver piantato backdoor in generatori di numeri casuali con uno speciale algoritmo in grado di decodificare automaticamente i messaggi crittografati. L'obiettivo è non combattere la crittografia perché la NSA non ha le risorse o il tempo per farlo, ma per combattere la crittografia in modo asimmetrico. Lo fanno sfruttando le debolezze nei programmi di crittografia come l'insetto di cuore prima ancora che fosse noto che la NSA ha (presumibilmente) assunto i migliori crittanalisti e hacker per trovare bug in software che possono essere sfruttati con un giorno zero che solo l'NSA sa di aggirare la crittografia.

Se ipotizziamo che la NSA eseguirà gli attacchi di cui sopra, quali contromisure potrei usare per proteggermi?

    
posta Travis 03.07.2016 - 22:11
fonte

1 risposta

5

Una volta che un hacker ben finanziato e ben informato ha sfruttato uno 0 giorni per installare codice arbitrario sul tuo computer, è game over. Non c'è modo di difendersi da questo. Le uniche difese consistono nel fare in modo che tale attacco non sia possibile (molto difficile) o assicurare che nessun danno provenga da un tale attacco (ad esempio: quel computer non gestisce mai dati sensibili).

Questo porta alla strategia scomoda di avere un air-gapped computer che usi per la crittografia e la decrittografia e un altro computer che usi per la comunicazione. Utilizzerai PGP sul computer con air-gap per crittografare / decodificare e spostare i dati da / verso il computer in rete per la trasmissione. L'invio di dati in questo modo è relativamente semplice. Basta inserire i dati crittografati su un DVD e spostarli sul computer in rete.

Spostare i dati ricevuti dal computer di rete al computer con air-gap dovrebbe essere fatto in modo tale da garantire che il computer con aria compressa non possa essere violato. Ciò significa che probabilmente non dovresti usare qualcosa come USB o DVD poiché non ti puoi fidare che siano sicuri dato che il computer in rete potrebbe essere stato violato e usare l'USB / DVD per infettare il computer con air-gap. Forse stampando i dati dal computer in rete e poi utilizzando OCR per importarlo nel computer con aria compressa?

Nonostante ciò, ritengo che la soluzione migliore sia rendersi poco interessanti alla NSA.

    
risposta data 04.07.2016 - 03:21
fonte

Leggi altre domande sui tag

Inutile 2FA in caso di attaccante interno Il server proxy può accedere ai miei cookie e usarli?