Hrubé útoky vysvětlují, jak je všechno šifrování zranitelné
Útočné útoky jsou poměrně jednoduché, ale obtížně je lze chránit. Šifrování je matematika a počítač se rychle u matematiky stává rychlejším při vyzkoušení všech řešení a při zjišťování toho,.
Tyto útoky lze použít proti jakémukoli typu šifrování, s různým stupněm úspěchu. Brutální útoky se stávají rychlejšími a efektivnějšími každým dnem, než se uvolní novější a rychlejší počítačový hardware.
Základy hrubé síly
Útočné útoky jsou snadno pochopitelné. Útočník má šifrovaný soubor - např. Vaše databáze LastPass nebo KeePass. Vědí, že tento soubor obsahuje data, která chtějí vidět, a vědí, že existuje šifrovací klíč, který jej odemkne. Chcete-li jej dešifrovat, mohou začít vyzkoušet každé možné heslo a zjistit, zda to vede k dešifrovanému souboru.
Oni to dělají automaticky s počítačovým programem, takže rychlost, s jakou někdo může brute-sílu šifrování se zvyšuje, jak dostupný počítačový hardware se stává rychlejší a rychlejší, schopný dělat více výpočtů za sekundu. Přirozený útok by pravděpodobně začínal na jednomístných heslech předtím, než se přesunul na dvoumístná hesla a tak dále, zkoušejte všechny možné kombinace, dokud jeden nebude fungovat.
"Slovní útok" je podobný a vyzkouší slova ve slovníku - nebo seznamu běžných hesel - místo všech možných hesel. To může být velmi efektivní, protože mnoho lidí používá takové slabé a běžné hesla.
Proč útočníci nemohou zmařit webové služby
Existuje rozdíl mezi online a offline útoky brute-force. Pokud by například útočník chtěl, aby se dostali do svého účtu Gmail, mohou začít vyzkoušet každé možné heslo - ale společnost Google je rychle odřízne. Služby, které poskytují přístup k těmto účtům, budou škrtat pokusy o přístup a zakázat adresy IP, které se pokoušejí přihlásit tolikrát. Takže útok na online službu by nefungoval příliš dobře, protože lze jen velmi málo pokusů před útokem zastavit.
Například po několika neúspěšných pokusech o přihlášení vám Gmail zobrazí obrázek CATPCHA, který ověří, že nejste počítač, který se automaticky pokouší o hesla. Pravděpodobně zastaví vaše pokusy o přihlášení, pokud se vám podaří pokračovat dost dlouho.
Na druhou stranu, řekněme, že útočník napadl zašifrovaný soubor z vašeho počítače nebo se mu podařilo ohrozit online službu a stáhnout takové šifrované soubory. Útočník má nyní šifrované údaje na svém vlastním hardwaru a může vyzkoušet tolik hesel, kolik chtějí ve svém volném čase. Pokud mají přístup k zašifrovaným datům, neexistuje způsob, jak jim zabránit v krátkém časovém úseku zkusit velké množství hesel. I když používáte silné šifrování, je pro vaši výhodu, aby vaše data byla v bezpečí a zajistila, aby ostatní neměli přístup.
Hashing
Silné algoritmy hašování mohou zpomalit útoky hrubou sílu. V podstatě algoritmy likvidace hesel před uložením hodnoty odvozené z hesla na disku provádějí dodatečnou matematickou práci na hesle. Pokud je používán pomalejší algoritmus hashování, bude vyžadovat tisíckrát tolik matematické práce, aby bylo možné vyzkoušet každé heslo a dramaticky zpomalit útoky na hrubou sílu. Nicméně čím více práce je zapotřebí, tím více práce musí server nebo jiný počítač dělat pokaždé, když se uživatel přihlásí pomocí svého hesla. Software musí vyvážit odolnost proti útokům na hrubou sílu s využitím zdrojů.
Brute-Force Speed
Rychlost závisí na hardwaru. Inteligenční agentury mohou stavět specializovaný hardware jen pro útoky na hrubou sílu, stejně jako Bitcoin horníci staví svůj vlastní specializovaný hardware optimalizovaný pro těžbu Bitcoin. Pokud jde o spotřebitelský hardware, nejúčinnějším typem hardwaru pro útoky na hrubou sílu je grafická karta (GPU). Protože je snadné zkusit najednou mnoho různých šifrovacích klíčů, mnoho paralelních grafických karet je ideální.
Koncem roku 2012 společnost Ars Technica uvedla, že klastr s kapacitou 25 GPU by mohl za méně než šest hodin spustit každé heslo systému Windows pod 8 znaky. NTLM algoritmus, který společnost Microsoft použila, nebyla dostatečně odolná. Však při vytvoření NTLM by trvat mnohem déle zkusit všechny tyto hesla. Toto nebylo považováno za hrozbu, že by společnost Microsoft mohla šifrování posílit.
Rychlost se zvyšuje a za několik desetiletí můžeme zjistit, že i ty nejsilnější kryptografické algoritmy a šifrovací klíče, které používáme dnes, mohou být rychle vyloučeny kvantovými počítači nebo jiným hardwarem, který používáme v budoucnu.
Ochrana vašich dat před útoky typu Brute-Force
Neexistuje žádný způsob, jak se úplně ochránit. Není možné říci, jak rychle se dostane hardwarový hardware a zda některý z šifrovacích algoritmů, které dnes používáme, má slabé stránky, které budou v budoucnu objeveny a využívány. Zde jsou však základy:
- Udržujte šifrované údaje v bezpečí tam, kde útočníci nemohou získat přístup k nim. Jakmile budou vaše data zkopírována do svého hardwaru, mohou se pokusit o útoky na hrubou sílu.
- Pokud spustíte jakoukoli službu, která přijímá přihlášení přes Internet, ujistěte se, že omezuje pokusy o přihlášení a zablokuje lidi, kteří se v krátkém čase pokusí přihlásit s různými hesly. Serverový software je obecně nastaven tak, aby to nevykonal, protože je to dobrá bezpečnostní praxe.
- Používejte silné šifrovací algoritmy, jako je SHA-512. Ujistěte se, že nepoužíváte staré algoritmy šifrování se známými nedostatky, které lze snadno spláchnout.
- Používejte dlouhá, bezpečná hesla. Všechny šifrovací technologie na světě nebudou pomáhat, pokud používáte "heslo" nebo někdy populární "hunter2".
Přirozené útoky mají za následek obavy při ochraně dat, výběru šifrovacích algoritmů a výběru hesel. Jsou také důvodem k tomu, aby pokračovali ve vývoji silnějších kryptografických algoritmů - šifrování musí držet krok s tím, jak rychle se stává neefektivním novým hardwarem.
Image Credit: Johan Larsson na Flickru, Jeremy Gosney