ردیاب‌های رمزنگاری خارج از قفسه، حس نادرستی از امنیت داده‌ها را ایجاد می‌کنند


ردیاب‌های رمزنگاری خارج از قفسه، حس نادرستی از امنیت داده‌ها را ایجاد می‌کنند

نویسندگان مشترک «چرا آشکارسازهای رمزنگاری شکست می‌خورند» (از سمت چپ) ناتان کوپر، آدویت نادکارنی، آمیت سیل آمی، کاوشال کافل و دنیس پوشیوانیک هستند. Nadkarni و Poshyvanyk اعضای هیئت علمی دپارتمان علوم کامپیوتر ویلیام و مری هستند. بقیه دکترا هستند. دانشجویان در بخش آمی نویسنده اصلی مقاله است. (تصویر نیست، کوین موران دانشجوی سابق دکترا). اعتبار: استفان سالپوکاس

امنیت داده ها متکی به استفاده از رمزنگاری مناسب و به خوبی اجرا شده است – علم و هنر ساخت الگوریتم هایی که اطلاعات را از چشمان کنجکاو و احتمالاً مخرب ایمن می کند.

آمیت سیل امی گفت: “رمزنگاری ویژگی هایی مانند محرمانه بودن اطلاعات و یکپارچگی اطلاعات را ایجاد می کند.” اغلب، مهندسان نرم‌افزار یا برنامه‌نویسان به واسط‌های برنامه‌نویسی کاربردی (نوعی برنامه‌های از پیش ساخته شده) متکی هستند که از آن برای دستیابی به این ویژگی‌ها در برنامه‌ها استفاده می‌کنند.»

او توضیح داد که اتکای توسعه‌دهندگان به آن دسته از واسط‌های برنامه‌نویسی برنامه‌نویسی یک‌اندازه، یا APIها، اغلب منجر به انحراف از اصول رمزنگاری صحیح می‌شود و بنابراین منجر به آماده شدن داده‌های محرمانه برای قرار گرفتن در معرض می‌شود.

امی توضیح داد: «بنابراین مثل این است که آنها سعی می کنند کارهای درست را انجام دهند، اما آن را به روشی نادرست انجام می دهند. “سوء استفاده همین است. سپس، ما آشکارسازهای سوء استفاده از رمزنگاری API را داریم، که ابزارهای تجزیه و تحلیلی هستند که به ما کمک می‌کنند چنین سوءاستفاده‌هایی را در نرم‌افزار پیدا کنیم. با این حال، این آشکارسازهای رمزنگاری می‌توانند نقص‌هایی داشته باشند. و اگر از این نقص‌ها اطلاعی نداشته باشیم. ما احساس امنیت کاذبی داریم.”

آمی دکتری است. کاندیدای دپارتمان علوم کامپیوتر ویلیام و مری، و دانشجوی اصلی نویسنده مقاله «چرا آشکارسازهای رمزنگاری شکست می‌خورند: ارزیابی سیستماتیک تکنیک‌های تشخیص سوء استفاده رمزنگاری»، که در چهل و سومین سمپوزیوم امنیت و حریم خصوصی مؤسسه ارائه کرد. مهندسین برق و الکترونیک (IEEE).

نویسندگان مشترک این مقاله عبارتند از: مشاوران آمی، ادویت نادکارنی و دنیس پوشیوانیک، هر دو از اعضای هیئت علمی دپارتمان علوم کامپیوتر ویلیام و مری، و سه نفر از دکترای فعلی و سابق CS. دانش آموزان: ناتان کوپر، کاوشال کافله و کوین موران.

آمی که در سال 2022 به عنوان همکار مهندسی و علوم مشترک المنافع ویرجینیا (COVES) انتخاب شد و در همان سال موفق به دریافت بورسیه پایان نامه مشترک المنافع ویرجینیا، ابتکار سایبری مشترک المنافع (CoVA-CCI) شد، می گوید وضعیت فعلی آشکارسازهای Crypto-API شامل تعداد زیادی از ایرادات است.

امی توضیح داد: «کاری که ما در تلاشیم انجام دهیم این است که به مردم کمک کنیم تا آشکارسازهای بهتری بسازند—یعنی آشکارسازهایی که می توانند سوء استفاده را در عمل تشخیص دهند.






اعتبار: کالج ویلیام و مری

همکاران شروع به بررسی عیوب در آشکارسازهای Crypto-API کردند که وظیفه پلیس و تصحیح نقاط ضعف امنیتی ناشی از سوء استفاده از Crypto-API را دارند. آنها چارچوبی را ایجاد کردند که آن را MASC می نامند تا ارزیابی کنند که تعدادی از آشکارسازهای رمزنگاری API در عمل چقدر خوب کار می کنند.

امی گفت: “اولین کاری که ما انجام می دهیم این است که در وهله اول به آنچه در مورد سوء استفاده می دانیم نگاه کنیم – روش هایی که از API های رمزنگاری استفاده و سوء استفاده می شوند.” “اما راه های دیگری که می توان از آنها سوء استفاده کرد چیست؟”

با استفاده از MASC، همکاران آن آسیب‌پذیری‌های شناخته شده و ثابت را می‌گیرند و آنها را تغییر می‌دهند و جهش ایجاد می‌کنند. سپس، امی گفت، آن‌ها آن جهش‌ها را با استفاده از آشکارسازهای مورد ارزیابی مطالعه می‌کنند.

او گفت: «و سپس ما سعی می‌کنیم ببینیم که آیا آشکارسازها می‌توانند موارد سوء استفاده جهش یافته یا تغییر یافته را پیدا کنند. و هنگامی که آنها نمی توانند، ما می دانیم که مشکلی در آنجا پیش می رود.»

چارچوب MASC نقایصی را در آشکارسازها آشکار کرد: امی گفت: «برخی از آسیب‌پذیری‌هایی که آشکارسازها از دست داده‌اند تا حدودی آشکار بودند. “اما برخی بسیار واضح بودند.”، یعنی آشکارسازها باید آنها را می گرفتند.

همکاران به سراغ توسعه دهندگان آشکارسازهای معیوب رفتند تا در مورد چرایی و چگونگی مشکل نقص بحث کنند. امی گفت که آنها تفاوت هایی در دیدگاه ها پیدا کردند. برخی از توسعه دهندگان بر روی تکنیک تمرکز کردند و برای رسیدن به نتیجه ای بر اساس استانداردهای انطباق امنیتی کار می کردند.

وی گفت: از سوی دیگر، کاری که ما انجام می‌دادیم، نگاه خصمانه به این ابزارها بود. چون وقتی مردم سعی می کنند از معایب سوء استفاده کنند، در مورد آن خوب رفتار نمی کنند.»

این گروه از یک تغییر پارادایم حمایت می کند: اینکه توسعه دهندگان رویکرد تکنیک محور خود را به نفع رویکردی متمرکز بر امنیت کنار می گذارند.

امی گفت: «این چیزی است که ما دوست داریم به آن کمک کنیم. “همه این آشکارسازها، زمانی که در حال توسعه هستند، باید از یک رویکرد بازبینی خصمانه استفاده کنند، بنابراین توسعه دهندگان می توانند ابزارهای خود را با اتخاذ رویکرد ما قابل اعتمادتر کنند.”


نظریه جدید برای تشخیص امواج الکترومغناطیسی تراهرتز به پیشرفت در فناوری اطلاعات و پزشکی امیدوار است.


اطلاعات بیشتر:
آمیت سیل آمی و همکاران، چرا آشکارسازهای رمزنگاری شکست می‌خورند: ارزیابی سیستماتیک تکنیک‌های تشخیص سوء استفاده رمزنگاری. arXiv:2107.07065v5 [cs.CR]، arxiv.org/abs/2107.07065

آمیت سیل آمی و همکاران، چرا آشکارسازهای رمزنگاری شکست می‌خورند: ارزیابی سیستماتیک تکنیک‌های تشخیص سوء استفاده رمزنگاری، 2022 سمپوزیوم IEEE در مورد امنیت و حریم خصوصی (SP) (2022). DOI: 10.1109/SP46214.2022.9833582

ارائه شده توسط کالج ویلیام و مری


نقل قول: آشکارسازهای رمزنگاری خارج از قفسه، حس نادرستی از امنیت داده را ایجاد می کنند (2022، 14 سپتامبر) بازیابی شده در 1 اکتبر 2022 از

این برگه یا سند یا نوشته تحت پوشش قانون کپی رایت است. به غیر از هرگونه معامله منصفانه به منظور مطالعه یا تحقیق خصوصی، هیچ بخشی بدون اجازه کتبی قابل تکثیر نیست. محتوای مذکور فقط به هدف اطلاع رسانی ایجاد شده است.





منبع