La recente crescita esplosiva del PC e del commercio basato su Internet ha aumentato notevolmente la necessità di una grande varietà di meccanismi di sicurezza informatica. Questo articolo, il secondo di una serie in tre parti, pone le basi di fondo in un linguaggio semplice.
Un po 'più lunga serie di articoli "Mantenere i vostri segreti Secret" esaminerà esempi pratici in modo più approfondito e fornisce suggerimenti e consigli utili. Naturalmente, questi continueranno con il tema del processo di crittografia e sicurezza informatica di facile comprensione.
One-Way Hash
Conosciuto anche come una funzione one-way, un message digest, un'impronta digitale o un checksum, l'algoritmo crea un output di lunghezza fissa che non può essere invertito. hash unidirezionale fornire checksum per convalidare i file, creare certificati digitali e ha giocato un ruolo centrale in molti schemi di autenticazione.
Consideriamo questo esempio. Per secoli, i cinesi hanno un metodo di divinazione che si basa su "Ba Ji" (otto caratteri), che utilizza l'ora, giorno, mese e anno di nascita secondo il loro calendario. Ci sono possibilità di sessanta (quasi uguale a 6 bit) per ciascuna delle quattro variabili. Poiché l'uso cinese due caratteri per ogni variabile, il risultato è sempre otto caratteri. Questo è un esempio di hash non protetto a 24 bit di sola andata.
Ovviamente, questo modo di produrre un hash a senso unico non è accettabile per motivi di sicurezza a causa del gran numero di collisioni (input diversi che producono lo stesso risultato).
Gli hash più comunemente usati sono SHA-1 (Secure Hash Algorithm usa 160 bit) e MD5 (Message Digest utilizza 128 bit). Nell'agosto del 2005, un team di crittografi guidata da Xiaoyun Wang dell'Università di Shandong, in Cina, ha presentato un documento che ha trovato modi più veloci di trovare collisioni rispetto al solito metodo della forza bruta. Questi exploit (vulnerabilità) può rendere la falsificazione dei certificati digitali una realtà.
Le implicazioni per il commercio elettronico può essere diffusa per non parlare dei milioni di siti web che hanno usato hash MD5 per le password degli utenti 'nel loro database. Qualsiasi webmaster può dire che la conversione di questi siti da usare SHA-256 o SHA-512 non sarà un compito banale.
In una recente direttiva, il NIST (National Institute of Standards & Technology, USA) ha informato le agenzie governative degli Stati Uniti di usare SHA-256 o SHA-512 (bit 256 e 512 rispettivamente), invece.
Biometria
Un dispositivo biometrico è uno che può identificare le caratteristiche uniche di un occhio dito, o la voce. Molti credono che i dati biometrici dovrebbero fornire un livello di sicurezza più elevato rispetto ad altre forme di autenticazione.
f trovare collisioni rispetto al solito metodo della forza bruta. Questi exploit (vulnerabilità) può rendere la falsificazione dei certificati digitali una realtà.Le implicazioni per il commercio elettronico può essere diffusa per non parlare dei milioni di siti web che hanno usato hash MD5 per le password degli utenti 'nel loro database. Qualsiasi webmaster può dire che la conversione di questi siti da usare SHA-256 o SHA-512 non sarà un compito banale.
In una recente direttiva, il NIST (National Institute of Standards & Technology, USA) ha informato le agenzie governative degli Stati Uniti di usare SHA-256 o SHA-512 (bit 256 e 512 rispettivamente), invece.
Biometria
Un dispositivo biometrico è uno che può identificare le caratteristiche uniche di un occhio dito, o la voce. Molti credono che i dati biometrici dovrebbero fornire un livello di sicurezza più elevato rispetto ad altre forme di autenticazione.
C'è una notizia, nel marzo 2005 come proprietario di un malese perso la sua Mercedes e l'indice di ladri d'auto armati di machete. Ovviamente l'elettronica di accensione senza chiave non può rilevare se il dito è ancora parte del corpo originale né se il dito (e per estensione la persona) è vivo o meno.
violazioni della sicurezza recenti hanno accresciuto preoccupazione per i depositari delle informazioni personali memorizzate su molti siti finanziari. Quando tali violazioni si è verificato, l'incidenza dei furti di identità sarà quindi aumentare anche.
Se perdi la tua carta di credito, è sempre possibile annullare la scheda e ottenere una nuova. Quando si perde la propria impronta digitale (memorizzato digitalmente), o altre caratteristiche biometriche, che può sostituire quelli?
Le password
Quando è stato chiesto di evocare un numero casuale o caratteri, la maggioranza delle persone inevitabilmente utilizzati materiali che sono loro familiari come i compleanni, i nomi dei membri della famiglia, i nomi di animali domestici 'e così via.
Per esempio, la maggior parte sceglierà le date quando ti viene chiesto di scegliere un numero a sei cifre per i loro ATM Personal Identification Number (PIN). In questo modo si riduce il numero di possibilità di nove volte.
Generatori di numeri casuali e
I numeri casuali sono al centro di crittografia. Per qualificarsi come veri numeri casuali, l'output di generatori di numeri casuali (RNG) deve passare test statistici di casualità. Due suite considerato come standard de facto sono le suite "irriducibili" sviluppato dal Prof. George Marsaglia della State University of Florida e la "statistica Test Suite" dal NIST.
In secondo luogo, l'uscita del RNG deve essere imprevedibile anche con una conoscenza completa del algoritmo o hardware che producono la serie e tutti i bit precedenti prodotti.
In terzo luogo, l'uscita del RNG non può essere clonato in una ripetizione funzionare anche con lo stesso input.
proprietario perso la sua Mercedes e l'indice di ladri d'auto armati di machete. Ovviamente l'elettronica di accensione senza chiave non può rilevare se il dito è ancora parte del corpo originale né se il dito (e per estensione la persona) è vivo o meno.violazioni della sicurezza recenti hanno accresciuto preoccupazione per i depositari delle informazioni personali memorizzate su molti siti finanziari. Quando tali violazioni si è verificato, l'incidenza dei furti di identità sarà quindi aumentare anche.
Se perdi la tua carta di credito, è sempre possibile annullare la scheda e ottenere una nuova. Quando si perde la propria impronta digitale (memorizzato digitalmente), o altre caratteristiche biometriche, che può sostituire quelli?
Le password
Quando è stato chiesto di evocare un numero casuale o caratteri, la maggioranza delle persone inevitabilmente utilizzati materiali che sono loro familiari come i compleanni, i nomi dei membri della famiglia, i nomi di animali domestici 'e così via.
Per esempio, la maggior parte sceglierà le date quando ti viene chiesto di scegliere un numero a sei cifre per i loro ATM Personal Identification Number (PIN). In questo modo si riduce il numero di possibilità di nove volte.
Generatori di numeri casuali e
I numeri casuali sono al centro di crittografia. Per qualificarsi come veri numeri casuali, l'output di generatori di numeri casuali (RNG) deve passare test statistici di casualità. Due suite considerato come standard de facto sono le suite "irriducibili" sviluppato dal Prof. George Marsaglia della State University of Florida e la "statistica Test Suite" dal NIST.
In secondo luogo, l'uscita del RNG deve essere imprevedibile anche con una conoscenza completa del algoritmo o hardware che producono la serie e tutti i bit precedenti prodotti.
In terzo luogo, l'uscita del RNG non può essere clonato in una ripetizione funzionare anche con lo stesso input.
L'approccio più comune per la produzione di numeri casuali è quello di utilizzare un algoritmo eseguito da un programma informatico (Yarrow, Tiny, Egads, Mersenne Twister). Tali algoritmi non possono produrre numeri casuali, pertanto i loro nomi, i generatori di numeri pseudo-casuali (PRNG).
Un altro approccio è quello di utilizzare gli eventi fisici come l'entropia prodotta dalla tastiera, mouse, interrompe, rumore bianco dai microfoni o casse e guidare il comportamento del disco come il seme (valore iniziale).
Alcuni potrebbero obiettare che la vera generatori casuali sono quelle in grado di rilevare il comportamento quantistico della fisica subatomica. Questo perché la casualità è insita nel comportamento delle particelle subatomiche - ricordate la nuvola di elettroni dalla fisica delle scuole superiori.
One-Time Pad
Il sistema più efficace è spesso la più semplice. Un one-time pad (OTP) è una serie di bit casuali, che ha la stessa lunghezza come oggetto digitale da cifrare. Per cifrare, basta usare una semplice operazione informatica, OR esclusivo (XOR). Per decifrare, semplicemente XOR il risultato cifrato con gli stessi bit casuali.
Lo svantaggio di usare OTP è che una volta usato, deve essere scartato. In secondo luogo, la OTP e l'oggetto digitale deve avere lo stesso numero di bit. Infine, l'evidente problema di sincronizzazione del OTP tra il ricevitore e il mittente.
[Nota dell'autore: la parte conclusiva 3 si concentrerà sulla gestione delle chiavi e crittografia a chiave pubblica.]
"In God we trust, altri usano crypto".
© Copyright 2005, Seecrets Stan. Tutti i diritti riservati.
No comments:
Post a Comment