Virus utilizzando l'input dal microfono delle vittime per generare chiavi di crittografia [chiuso]

Naviga le tue risposte
-1

Sono un ingegnere informatico di Bucarest e ho creato un'applicazione di crittografia e autenticazione basata su audio, chiamata WaveCrypt. Fondamentalmente permette agli utenti di crittografare (AES) i loro file con un WaveKey - un'impronta digitale unica che può essere ottenuta da un file Wave (quindi il nome dell'applicazione. Ho scelto questo formato specifico perché non è compresso). Puoi ottenere quel file wave da una fonte offline (CD o semplicemente registrarlo dal vivo con il plug-in dell'applicazione integrato) o una fonte online (YouTube).

Consideralo come una crittografia basata su password che utilizza invece un ingresso audio.

Mentre leggevo dei buoni materiali per l'architettura dei sistemi operativi, mi è venuta in mente una nuova idea. Sebbene tu possa usarlo per buoni propositi, ha un enorme potenziale da usare anche per le cattive cause. Pensaci. È possibile progettare un virus di crittografia che genera la sua chiave di crittografia direttamente dal microfono della vittima. Usando questo input audio casuale come chiave puoi essere sicuro che i tasti che userai siano completamente impossibili da riprodurre. Una vera e naturale funzione a senso unico.

Non intendo creare un virus del genere (come puoi immaginare, non lo pubblicherei qui, giusto?) ma è solo un pensiero giocoso che volevo condividere con te.

Che cosa pensi del malware di crittografia basato sull'audio?

    
posta Mihai 30.06.2016 - 10:41
fonte

3 risposte

5

Se si utilizza un suono "naturale", si ha un sacco di ridondanza in esso e questo riduce la forza della chiave (questo può o non può essere fondamentale per l'applicazione).

Poiché non puoi riprodurre la tua chiave sonora, dovrai memorizzarla (in un keystore bloccato a passphase). Con questa condizione, una chiave strong generata casualmente è sempre migliore.

    
risposta data 30.06.2016 - 10:58
fonte
2

Un'idea molto interessante.

Suppongo che il malware possa effettivamente ottenere una chiave molto difficile da riprodurre in questo modo, tuttavia potrebbero esserci alcuni problemi:

  • il microfono del target è disattivato
  • c'è una quantità di suono molto bassa nella stanza - nessun suono viene catturato

Suggerirei di avere un meccanismo di fallback per un sistema di creazione di chiavi più classico se tali condizioni fossero rilevate.

Suppongo che questa tecnica non venga utilizzata per questo motivo. Ma comunque molto interessante, non ci ho mai pensato:)

Ovviamente l'applicazione WaveCrypt è perfetta per l'utilizzo non dannoso, poiché in tal caso l'utente si accerterà che l'audio sia acquisito correttamente

    
risposta data 30.06.2016 - 10:47
fonte
2

Ciò che hai inventato è essenzialmente un generatore di numeri casuali, e non "una vera e unica funzione". Una funzione a senso unico è qualcosa che alwasy genera lo stesso output per lo stesso input, ma non può essere invertito. Usi le funzioni unidirezionali alle cose hash: come sceglieresti qualcosa con questo schema?

Quindi, se si tratta di un generatore di numeri casuali, è crittograficamente sicuro? Mentre c'è del rumore bianco ovunque, ci sono anche molti schemi nel suono. Quanto è buono il risultato dipende da come si campiona e si filtra l'audio, ma è possibile che questo possa essere fatto in un buon modo. Ma perché preoccuparsi quando ci sono già buoni CSPRNG disponibili senza giocare con il microfono?

Suggerisci che questo dovrebbe essere usato per generare chiavi di crittografia. Questo dovrebbe essere fatto con un CSPRNG. Ma finora non hai dimostrato perché il tuo generatore sarebbe migliore di quelli ordinari che sono disponibili su qualsiasi sistema.

In sintesi, hai inventato un modo complicato per fare qualcosa che può già essere fatto facilmente.

    
risposta data 30.06.2016 - 11:13
fonte

Leggi altre domande sui tag

La mia tecnica di hashing è sicura? [duplicare] Ho scoperto una botnet durante i test [chiuso]