Sono un nuovo arrivato alla crittografia e mi chiedevo quanto spesso i sistemi siano attaccati da cracking di sistemi crittografici nel mondo reale. È pratico studiare la crittografia come un hacker?
Sono un nuovo arrivato alla crittografia e mi chiedevo quanto spesso i sistemi siano attaccati da cracking di sistemi crittografici nel mondo reale. È pratico studiare la crittografia come un hacker?
I sistemi crittografici, se fatti correttamente, sono generalmente a tenuta d'aria in termini di matematica. Ciò significa che nella maggior parte dei casi un avversario polinomiale efficiente (cioè un avversario che può correre per 100 anni) ha una probabilità trascurabile di successo (che non ci interessa)
Sfortunatamente, mentre un cifrario può essere strong sulla carta, può essere spesso erroneamente implementato in modo da poter ottenere informazioni sulla chiave o testo in chiaro da osservando il dispositivo o attaccando il generatore di numeri casuali o qualsiasi altro canale laterale .
Oltre a ciò, le organizzazioni e i venditori che rispettano se stessi aggiorneranno il loro software quando i codici precedentemente ritenuti sicuri sono provati essere tutto tranne.
Non sono un esperto in crittografia, ma l'ho studiato per un po 'e mi ha aperto gli occhi sulla bellezza e la sottigliezza della matematica, qualcosa che in precedenza pensavo non fosse necessario. È anche molto interessante vedere come le cose su cui facciamo affidamento per la nostra sicurezza e il lavoro di sicurezza, e questo è più o meno ciò che l'hacking è tutto. La mia risposta sarebbe, hacker o no, studiare la crypto per i suoi meriti, ma sicuramente può aiutarti nel tuo lavoro come pentester o programmatore.
A meno che non si tratti di un algoritmo noto-debole, probabilmente mai - crypto è specificamente progettato per resistere agli attacchi diretti, quindi provare a spezzare la crittografia con la forza bruta è come cercare di neutralizzare un carro armato sparando al punto in cui l'armatura è la più strong .
Normalmente attacchi i canali di comunicazione e cerchi modi per sconfiggere la crittografia sfruttando i punti deboli dell'implementazione (attacchi a canali laterali, ingegneria sociale, scambio di chiavi o meccanismi di derivazione delle chiavi, ecc.)
Dalla mia esperienza dipende da dove e da cosa è la cripto ea che punto stai attaccando.
Se stai attaccando la stessa crittografia per difetti nell'implementazione:
Ma se attacchi il risultato di una crittografia di scarsa qualità e di password deboli:
Se la sua crittografia dei file, in genere è possibile forzare la password, assumendo che tu abbia una certa conoscenza dell'azienda.
Se i suoi account utente di cracking hanno crittografato / hash le password memorizzate in un database di qualche tipo (utilizzando un algoritmo debole come MD5 non salito), di solito è molto facile in quanto molte persone scelgono password deboli.
In realtà trovare difetti in cose come AES, MD5, TLS / SSL ecc. è piuttosto difficile (molti esperti hanno passato molto tempo a rivederli), tuttavia la ricerca di vulnerabilità nelle loro implementazioni è un po 'più semplice. Inoltre, la ricerca di vulnerabilità causate da problemi umani (come la scarsa sicurezza delle password) è l'opzione più semplice disponibile.
Leggi altre domande sui tag cryptography