همکاران شروع به بررسی عیوب در آشکارسازهای Crypto-API کردند که وظیفه پلیس و تصحیح نقاط ضعف امنیتی ناشی از سوء استفاده از Crypto-API را دارند. آنها چارچوبی را ایجاد کردند که آن را MASC می نامند تا ارزیابی کنند که تعدادی از آشکارسازهای رمزنگاری API در عمل چقدر خوب کار می کنند.
او توضیح داد که اتکای توسعهدهندگان به آن دسته از واسطهای برنامهنویسی برنامهنویسی یکاندازه، یا APIها، اغلب منجر به انحراف از اصول رمزنگاری صحیح میشود و بنابراین منجر به آماده شدن دادههای محرمانه برای قرار گرفتن در معرض میشود.
نویسندگان مشترک این مقاله عبارتند از: مشاوران آمی، ادویت نادکارنی و دنیس پوشیوانیک، هر دو از اعضای هیئت علمی دپارتمان علوم کامپیوتر ویلیام و مری، و سه نفر از دکترای فعلی و سابق CS. دانش آموزان: ناتان کوپر، کاوشال کافله و کوین موران.
نقل قول: آشکارسازهای رمزنگاری خارج از قفسه، حس نادرستی از امنیت داده را ایجاد می کنند (2022، 14 سپتامبر) بازیابی شده در 1 اکتبر 2022 از
امنیت داده ها متکی به استفاده از رمزنگاری مناسب و به خوبی اجرا شده است – علم و هنر ساخت الگوریتم هایی که اطلاعات را از چشمان کنجکاو و احتمالاً مخرب ایمن می کند.
آمی دکتری است. کاندیدای دپارتمان علوم کامپیوتر ویلیام و مری، و دانشجوی اصلی نویسنده مقاله «چرا آشکارسازهای رمزنگاری شکست میخورند: ارزیابی سیستماتیک تکنیکهای تشخیص سوء استفاده رمزنگاری»، که در چهل و سومین سمپوزیوم امنیت و حریم خصوصی مؤسسه ارائه کرد. مهندسین برق و الکترونیک (IEEE).
او گفت: «و سپس ما سعی میکنیم ببینیم که آیا آشکارسازها میتوانند موارد سوء استفاده جهش یافته یا تغییر یافته را پیدا کنند. و هنگامی که آنها نمی توانند، ما می دانیم که مشکلی در آنجا پیش می رود.»
با استفاده از MASC، همکاران آن آسیبپذیریهای شناخته شده و ثابت را میگیرند و آنها را تغییر میدهند و جهش ایجاد میکنند. سپس، امی گفت، آنها آن جهشها را با استفاده از آشکارسازهای مورد ارزیابی مطالعه میکنند.
اعتبار: کالج ویلیام و مری
امی گفت: «این چیزی است که ما دوست داریم به آن کمک کنیم. “همه این آشکارسازها، زمانی که در حال توسعه هستند، باید از یک رویکرد بازبینی خصمانه استفاده کنند، بنابراین توسعه دهندگان می توانند ابزارهای خود را با اتخاذ رویکرد ما قابل اعتمادتر کنند.”
اطلاعات بیشتر:
آمیت سیل آمی و همکاران، چرا آشکارسازهای رمزنگاری شکست میخورند: ارزیابی سیستماتیک تکنیکهای تشخیص سوء استفاده رمزنگاری. arXiv:2107.07065v5 [cs.CR]، arxiv.org/abs/2107.07065
امی توضیح داد: «کاری که ما در تلاشیم انجام دهیم این است که به مردم کمک کنیم تا آشکارسازهای بهتری بسازند—یعنی آشکارسازهایی که می توانند سوء استفاده را در عمل تشخیص دهند.
آمیت سیل آمی و همکاران، چرا آشکارسازهای رمزنگاری شکست میخورند: ارزیابی سیستماتیک تکنیکهای تشخیص سوء استفاده رمزنگاری، 2022 سمپوزیوم IEEE در مورد امنیت و حریم خصوصی (SP) (2022). DOI: 10.1109/SP46214.2022.9833582
ارائه شده توسط کالج ویلیام و مری
امی توضیح داد: «بنابراین مثل این است که آنها سعی می کنند کارهای درست را انجام دهند، اما آن را به روشی نادرست انجام می دهند. “سوء استفاده همین است. سپس، ما آشکارسازهای سوء استفاده از رمزنگاری API را داریم، که ابزارهای تجزیه و تحلیلی هستند که به ما کمک میکنند چنین سوءاستفادههایی را در نرمافزار پیدا کنیم. با این حال، این آشکارسازهای رمزنگاری میتوانند نقصهایی داشته باشند. و اگر از این نقصها اطلاعی نداشته باشیم. ما احساس امنیت کاذبی داریم.”
همکاران به سراغ توسعه دهندگان آشکارسازهای معیوب رفتند تا در مورد چرایی و چگونگی مشکل نقص بحث کنند. امی گفت که آنها تفاوت هایی در دیدگاه ها پیدا کردند. برخی از توسعه دهندگان بر روی تکنیک تمرکز کردند و برای رسیدن به نتیجه ای بر اساس استانداردهای انطباق امنیتی کار می کردند.