La récente croissance explosive des PC et commerce sur Internet a considérablement augmenté le besoin d'une grande variété de mécanismes de sécurité informatique. Cet article, le deuxième d'une série de trois, jette les bases sous-jacentes dans un langage simple.
Une série un peu Pluse d'articles « Garder votre Secret Secrets » examinera plus en détail des exemples pratiques et fournit des conseils et des astuces utiles. Bien sûr, ces continuera avec le thème de la sécurité informatique et de la crypto facile à comprendre.
Hachage unidirectionnel
Également connu sous le nom une fonction à sens unique, un résumé du message, une empreinte digitale ou une somme de contrôle, l'algorithme crée une sortie de longueur fixe qui ne peut pas être inversée. Hachages unidirectionnels fournissent des totaux de contrôle pour valider les fichiers, créer des certificats numériques et a joué un rôle central dans de nombreux systèmes d'authentification.
Considérons cet exemple. Pour les âges, les chinois ont une méthode de divination qui repose sur le « Ba Ji » (huit caractères) qui utilise le temps, jour, mois et année de naissance selon leur calendrier. Il y a soixante possibilités (presque égales à 6 bits) pour chacune des quatre variables. Étant donné que les chinois utilisent deux caractères pour chaque variable, le résultat est toujours huit caractères. C'est un exemple d'un hachage unidirectionnel non sécurisé de 24 bits.
De toute évidence, cette façon de produire un hachage à sens unique n'est pas acceptable à des fins de sécurité en raison du nombre énorme de collisions (produisant la même sortie de différentes entrées).
Les hachages plus couramment utilisés sont le SHA-1 (Secure Hash Algorithm utilise 160 bits) et MD5 (Message Digest utilise 128 bits). En août 2005, une équipe de cryptographes dirigé par Xiaoyun Wang de l'Université du Shandong, en Chine, a présenté un document qui trouve plus vite les façons de trouver des collisions que la brute habituelle force méthode. Ces exploits (vulnérabilités) peuvent faire de faux certificats numériques une réalité.
Les implications pour le commerce électronique peuvent être généralisées sans parler des millions de sites Web qui utilise le MD5 pour hacher des mots de passe des utilisateurs dans leurs bases de données. Tout webmaster peut vous dire que la conversion de ces sites pour utiliser SHA-256 ou SHA-512 ne sera pas une tâche triviale.
Dans une directive récente, NIST (National Institute of Standards & Technology, États-Unis d'Amérique) a informé les agences gouvernementales américaines d'utiliser SHA-256 ou SHA-512 (256 et 512 bits respectivement) à la place.
Biométrie
Un dispositif biométrique est celle qui peut identifier les caractéristiques uniques d'un doigt, le œil ou la voix. Beaucoup croient que la biométrie devrait fournir un niveau élevé de sécurité que d'autres formes d'authentification.
Il y a un reportage en mars 2005 de comment un propriétaire malaisien perdu sa Mercedes voiture et l'index de voleurs armés de machettes. Il est évident que l'électronique d'allumage sans clé ne peut pas détecter si le doigt est toujours partie du corps original ni si le doigt (et par extension la personne) est vivant ou non.
Récentes atteintes à la sécurité ont renforcé les préoccupations sur les dépositaires de renseignements personnels stockés sur de nombreux sites financiers. Lorsque cette violation s'est produite, l'incidence des vols d'identité donc augmentera également.
Si vous perdez votre carte de crédit, vous pouvez toujours annuler la carte et obtenir un nouveau. Lorsque vous perdez votre empreinte digitale (stocké sous forme numérique) ou autres caractéristiques biométriques, qui peuvent remplacer ceux ?
Mots de passe
Invité à évoquer un nombre aléatoire ou caractères, plupart des matériaux utilisés inévitablement des gens qui connaissent bien leur comme anniversaires, noms des membres de la famille, les noms des animaux de compagnie et ainsi de suite.
Par exemple, la plupart choisissent les dates lors de la demande de choisir un numéro à six chiffres pour leur numéro d'Identification personnel ATM (NIP). Faisant donc réduira le nombre de possibilités par neuf fois.
Nombres aléatoires et des générateurs
Nombres aléatoires sont au cœur de crypto. Pour être considéré comme vrais nombres aléatoires, la sortie de générateurs de nombres aléatoires (RNG) doit passer des tests statistiques du hasard. Deux suites considérées comme standards de facto sont la suite « irréductibles » mis au point par le professeur George Marsaglia, de l'Université de Floride et de la « Suite de Test statistique » du NIST.
Deuxièmement, sortie de la RNG doit être imprévisible, même avec une connaissance complète de l'algorithme ou de matériel de production de la série et tous les bits antérieures produites.
En troisième lieu, sortie de la RNG ne peut pas être cloné dans une répétition même avec les mêmes entrées.
L'approche la plus courante pour produire des nombres aléatoires en utilisant un algorithme effectue par un programme informatique (achillée millefeuille, Tiny, sage, Mersenne Twister). Ces algorithmes ne peuvent pas produire au hasard nombres, d'où leurs noms, générateurs de nombres pseudo-aléatoires (PRNG).
Une autre approche consiste à utiliser des événements physiques comme entropie produit par le clavier, souris, interruptions, bruit blanc de microphones ou de conférenciers et de comportement de lecteur de disque que les semences (valeur initiale).
Certains pourraient affirmer que vrais générateurs aléatoires sont ceux qui peuvent détecter les comportement quantique en physique subatomique. C'est parce que le caractère aléatoire est intrinsèque dans le comportement des particules subatomiques - n'oubliez pas le nuage électronique de votre école secondaire physique.
Pad unique
Système le plus efficace est souvent le plus simple. Un coussin unique (OTP) est une série de bits aléatoires qui a la même longueur que l'objet numérique crypté. Pour crypter, utilisez simplement une opération simple ordinateur, exclusive ou (XOR). Pour déchiffrer, simplement le résultat chiffré avec les mêmes bits aléatoires de XOR.
L'inconvénient de l'utilisation de OTP est qu'une fois utilisé, il doit être écarté. Deuxièmement, le Bureau du procureur et l'objet numérique doivent avoir le même nombre de bits. Enfin, le problème évident de la synchronisation de l'OTP entre le récepteur et émetteur.
[Note de l'auteur : les finales 3 partie mettra l'accent sur la gestion de clés et de la cryptographie à clé publique.]
« In God we trust, d'autres utiliseront crypto. »
© Copyright 2005, Stan Seecrets. Tous droits réservés.
No comments:
Post a Comment