Honingcodering zal aanvallers in de maling nemen met nepgeheimen

Ari Juels , een onafhankelijke onderzoeker die voorheen hoofdwetenschapper was bij computerbeveiligingsbedrijf RSA, denkt dat er iets belangrijks ontbreekt in de cryptografie die onze gevoelige gegevens beschermt: bedrog.





Valstrikken en bedrog zijn echt onderbenutte tools in fundamentele computerbeveiliging, zegt Juels. Samen met Thomas Ristenpart van de Universiteit van Wisconsin, heeft hij een nieuw encryptiesysteem ontwikkeld met een slinkse inslag. Het geeft versleutelde gegevens een extra beschermingslaag door nepgegevens op te sturen als reactie op elke verkeerde gok van het wachtwoord of de versleutelingssleutel. Als de aanvaller uiteindelijk juist raadt, zouden de echte gegevens verloren moeten gaan tussen de massa spoofgegevens.

De nieuwe aanpak zou waardevol kunnen zijn, gezien hoe vaak grote versleutelde hoeveelheden gevoelige gegevens in handen van criminelen vallen. Zo werden in oktober 2013 zo'n 150 miljoen gebruikersnamen en wachtwoorden van Adobe-servers gehaald.

Na het vastleggen van versleutelde gegevens gebruiken criminelen vaak software om herhaaldelijk het wachtwoord of de cryptografische sleutel te raden die is gebruikt om deze te beveiligen. Het ontwerp van conventionele cryptografische systemen maakt het gemakkelijk om te weten of een dergelijke gok correct is of niet: de verkeerde sleutel produceert een onleesbare puinhoop, geen herkenbaar stuk ruwe data.

De aanpak van Juels en Ristenpart, bekend als Honey Encryption, maakt het voor een aanvaller moeilijker om te weten of ze een wachtwoord of coderingssleutel correct hebben geraden of niet. Wanneer de verkeerde sleutel wordt gebruikt om iets te decoderen dat door hun systeem wordt beschermd, genereert de Honey Encryption-software een stuk nepgegevens dat lijkt op de echte gegevens.

Als een aanvaller software zou gebruiken om bijvoorbeeld 10.000 pogingen te doen om een ​​creditcardnummer te ontcijferen, zou hij 10.000 verschillende valse creditcardnummers terugkrijgen. Elke decodering gaat er aannemelijk uitzien, zegt Juels. De aanvaller heeft geen manier om a priori te onderscheiden wat correct is. Juels werkte eerder samen met Ron Rivest, de R in RSA, om een ​​systeem te ontwikkelen genaamd honing woorden om wachtwoorddatabases te beschermen door ze ook te vullen met valse wachtwoorden.

Juels en Ristenpart presenteren een paper over Honey Encryption op de Eurocrypt cryptografieconferentie later dit jaar. Juels werkt ook aan het bouwen van een daarop gebaseerd systeem om de gegevens te beschermen die zijn opgeslagen door wachtwoordbeheerservices zoals: LastPass en Dashlane . Deze services slaan alle verschillende wachtwoorden van een persoon op in een gecodeerde vorm, beschermd door een enkel hoofdwachtwoord, zodat software ze automatisch op websites kan invoeren.

Wachtwoordmanagers zijn een smakelijk doelwit voor criminelen, zegt Juels. Hij is van mening dat veel mensen een onveilig hoofdwachtwoord gebruiken om hun collectie te beschermen. De manier waarop ze zijn opgebouwd, ontmoedigt het gebruik van een sterk wachtwoord, omdat je het constant moet typen, in veel gevallen ook op een mobiel apparaat.

Juels voorspelt dat als criminelen een grote verzameling versleutelde wachtwoordkluizen in handen zouden krijgen, ze er waarschijnlijk zonder al te veel moeite veel van zouden kunnen ontgrendelen door de hoofdwachtwoorden te raden. Maar als die kluizen waren beveiligd met Honey Encryption, zou elke onjuiste poging om een ​​kluis te ontsleutelen in plaats daarvan een valse opleveren.

Hristo Bojinov, CEO en oprichter van mobiel softwarebedrijf anfacto , die eerder als beveiligingsonderzoeker heeft gewerkt aan het probleem van het beschermen van wachtwoordkluizen, zegt dat Honey Encryption hun kwetsbaarheid kan helpen verminderen. Maar hij merkt op dat niet elk type gegevens op deze manier gemakkelijk te beschermen is, omdat het niet altijd mogelijk is om de versleutelde gegevens in voldoende detail te kennen om geloofwaardige vervalsingen te produceren. Niet alle authenticatie- of encryptiesystemen geven zichzelf toe om 'gehonoreerd' te zijn.

Juels is het daarmee eens, maar is ervan overtuigd dat er inmiddels genoeg wachtwoorddumps online zijn gelekt om het mogelijk te maken vervalsingen te maken die het verzamelen van echte wachtwoorden nauwkeurig nabootsen. Hij werkt momenteel aan het maken van de nep-wachtwoordkluisgenerator die nodig is om Honey Encryption te gebruiken om wachtwoordmanagers te beschermen. Deze generator maakt gebruik van gegevens uit een kleine verzameling gelekte wachtwoordbeheerkluizen, verschillende grote verzamelingen gelekte wachtwoorden en een model van echt wachtwoordgebruik ingebouwd in een krachtige wachtwoordkraker.

zich verstoppen