Криптоанализ Резинового Шланга И Методы Его Предотвращения

Если необходимость — мать изобретений, то невзгоды и драматические события, возможно, являются матерью криптоанализа.
Автор «Кодовой книги» — Саймон Сингх.
Какие методы взлома более эффективны? Ищете уязвимости в программах? Полный перебор? Решение хеша? Но они не угадали.
Атаки на уровне пользователя выполняют свою работу наиболее эффективно.
Одна из главных проблем криптографии заключается именно в том, что люди являются слабым звеном криптосистемы.
Спойлер Мандалорец

Криптографические системы часто полагаются на секретность криптографических ключей, предоставляемых пользователям.
Однако многие схемы не могут противостоять атакам с принуждением, когда злоумышленник заставляет пользователя раскрыть ключ.
Эти атаки известны как Криптоанализ с резиновым шлангом (или бандитский криптоанализ) , зачастую являются наименее затратными по времени и усилиям методами взлома криптографии.

Шантаж, угрозы и пытки – это лишь некоторые из способов манипулирования людьми, то есть методов использования социальной инженерии.

Социальная инженерия – это метод манипулирования мыслями и действиями людей.
В его основе лежат психологические особенности личности и закономерности человеческого мышления.
Основные виды социальной инженерии.

Троянский конь - атака, при которой пользователь получает письмо, вызывающее интерес к посещению сайта.
Это могут быть выгодные акции, выигрыш в лотерею и т. д.
Фишинг — атака, при которой пользователю также приходит якобы официальное письмо со ссылкой на сайт, где есть форма входа.

Дорожное яблоко - атака, в чем-то очень похожая на троянского коня, но суть ее заключается в реальном физическом объекте (каком-то съемном носителе), который по каким-то причинам может вызвать интерес у нашедшего его человека.

Что о кво - иначе «услуга за услугу».
Чаще всего оно проявляется в виде необходимости оказания пользователю технической помощи, в ходе которой жертва лично устанавливает на свой компьютер вредоносное ПО.

Обратная социальная инженерия — атака, в ходе которой «бандит» создает такие условия, чтобы пользователь самостоятельно передал необходимые данные, например, для ускорения процесса.

Серфинг через плечо - мониторинг действий жертвы при вводе персональных данных.

предлог — атака, предполагающая умышленное завладение какими-либо данными о пользователе, что используется для получения необходимых данных путем входа в круг доверия.

Теперь давайте перечислим некоторые методы защиты из этих методов:
Сокрытие ваших данных и паролей.

Расширение знаний в области информационной безопасности.

Наличие антивирусного программного обеспечения.

Иметь представление о возможных действиях социальных инженеров.

Использование лицензионного программного обеспечения.

Будьте осторожны с вещами, которые хранят ваши данные.

Использование различных надежных паролей для веб-сайтов.

Медлительность в действиях и проверке полученной информации.

Это не исчерпывающий список, но на что стоит обратить внимание.

Вернемся к тому, что в России в шутку называют терморектальный криптоанализ .

Один из способов предотвратить этот тип атаки — на основе использования зашифрованного текста в качестве словаря чтобы скрыть действительно секретное послание.
Если человек вынужден отдать ключ, злоумышленник получит лишь обманчивое сообщение, которое будет отвлекать.
Настоящее секретное сообщение можно получить, используя набор чисел, обозначающих расположение кода ASCII, включенного в зашифрованный текст сообщения-ловушки.
Изменение этого набора цифр создаст новое истинно секретное сообщение.
Зашифрованный текст ложного сообщения может использоваться для сокрытия нескольких секретных сообщений и может быть отправлен только один раз.
Но ложное сообщение должно быть основано на реальных событиях, чтобы убедить злоумышленника в резиновом шланге, что он или она получили правильное сообщение.
Еще один интересный, но не до конца изученный метод – использование неявного обучения.
Что это такое? Неявное обучение — это случайное заучивание сложной информации без осознания того, что было изучено (очень знакомо учащимся).
Главное свойство таких знаний состоит в том, что они могут быть переданы только посредством обучения, а получены посредством личного опыта.
Самый простой пример такой тренировки – езда на велосипеде.
Когда человек осваивает этот навык, он наблюдает и затем пытается его повторить.
Только четко сформулированные теоретические знания не помогут вам этому научиться.
Американские исследователи установили эксперимент (№1) , направленный на изучение неявного обучения и анализ применимости такого метода для идентификации пользователей.
Испытуемым было дано 2 задания:
Первое задание: задача участника – перехватить мяч, когда он пролетит над черным целевым кругом.
Ответы считались правильными, если соответствующая клавиша была нажата, когда мяч перекрывал целевой круг в пределах одного диаметра этого шара (половины диаметра мяча по обе стороны от оптимального целевого ответа).
Неправильный ответ клавиши, неправильное время ответа и несколько нажатий клавиш в одном и том же окне ответа считались неправильными ответами.
Начальная скорость шаров в процессе адаптировалась в зависимости от производительности.

Второе задание: участников спрашивают, видели ли они эту последовательность в предыдущем задании или нет. От вас требуется выразить уверенность по шкале от 1 до 9.
Я тоже пытался выполнить эти задачи.
Если вы, как и я, хотите попробовать, вот ссылка*( https://www.reberlab.org/file/show/SISLЭgroup=667b435bdb923a53 ).
Когда я играл, темп был довольно быстрым, поэтому уследить за последовательностью было невероятно сложно.
Мне казалось, что большую часть времени мои пальцы двигались сами по себе.
*К сожалению, результатов выполнения вы не увидите.
Механизм аутентификации полезен только в том случае, если аутентификацию можно точно выполнить через некоторое время после запоминания.
Поэтому было организовано эксперимент (№ 2) , состоящая из тех же заданий и сравнения новых данных с результатами эксперимента (№1), в ходе которого было подтверждено, что знания участников о последовательности сохраняются в течение длительного периода времени.
Как уже говорилось выше, этот метод требует дальнейшего изучения.
И пока это не может быть особо применимо в качестве защиты данных.
Исследования неявного обучения можно найти в статье: Истощение эго ухудшает неявное обучение (Келси Р.
Томпсон, Дэниел Дж.
Санчес, Эбигейл Х.
Уэсли, Пол Дж.
Ребер.
) Рассмотрим еще один наиболее популярный вариант защиты – двойное шифрование.
Суть этого метода довольно проста: имеются различные данные, некоторые из них требуют особого контроля.
Доступ к ним осуществляется с помощью пароля.
Если вы введете один пароль, вы получите доступ к «открытому» контенту, а если введете другой, то получите доступ к чрезвычайно конфиденциальным данным.
Основным недостатком этого метода является то, что давление может продолжаться до тех пор, пока не будет раскрыт «настоящий» пароль.
Желаю, чтобы никто никогда не сталкивался с таким типом криптоанализатора!