Si alguien olfateó mis paquetes HTTPS de inicio de sesión y los guardó durante más de 10 años, cuando la potencia de cálculo es del orden de magnitud más rápida y económica, y es capaz de descifrarlo en cuestión de días. ¿Pueden ver mi nombre de usuario / contraseña original del pasado?

Calificado sí (el atacante podría potencialmente descifrar su tráfico).

La forma ‘tonta’ de hacer esto es un intento de descifrado de clave de fuerza bruta. Suponiendo una clave de 1024 bits, esto tomará los crackers agrupados en GPU más fuertes disponibles actualmente, algo así como 10 ^ 280 años para probar el 50% o más de los valores posibles.

Sin embargo, la mayoría de los descifrados (inteligentes) no se basan en todas las combinaciones posibles. Por el contrario, esperan una falla en el mecanismo de encriptación (antiguo / desactualizado) y lo usan para acortar considerablemente el tiempo de ataque.

Un ejemplo destacado sería WEP (Wired Equivalent Privacy), que (de forma insegura) utilizó partes de su clave para construir el vector de inicialización (bla, bla, bla, básicamente se usaron algunas matemáticas fáciles de realizar ingeniería inversa) de modo que, si se sentó y reunió 1 o 2 millones de paquetes, puede comparar esos paquetes, ver los puntos en común y descubrir (una gran parte de) la clave utilizada para cifrar el tráfico en primer lugar. (No, no toma mucho tiempo recolectar paquetes de 1-2M, especialmente si sigue haciendo ping o UDP inundando la red en cuestión). Este ataque aún era común en 2005.

Samy Kankar usó un enfoque similar (señalando que Facebook usó hora predecible del día y semillas de reloj en sus cadenas de ID de sesión generadas por PHP) para secuestrar (descifrar) (descifrar) sesiones de redes sociales en ~ 2010. (Su presentación de BlackHat, donde “pirateó” la página de Anna Faris y se unió al Equipo (Crepúsculo) Edward con ella, fue muy graciosa).

Entonces: la historia sugiere que las tecnologías de transmisión “seguras” de hoy en día tendrán fallas futuras (aún no descubiertas) que las harán susceptibles a un compromiso posterior. (Vea mi nota final a continuación.) ¿Esto significa que no deberíamos usar Internet? Por supuesto no. Pero * sí * fortalece el argumento para las defensas en capas (por ejemplo, tal vez una contraseña inalámbrica * y * y un servidor de autenticación, o una contraseña inalámbrica * y * un token de dos factores), y para rotar (cambiar) claves / certificados / contraseñas de vez en cuando.

** La película Sneakers de la década de 1990 estaba realmente adelantada a su tiempo a este respecto. En esa película, un matemático (¿interpretado por Donal Logue?) Describe cómo el cifrado moderno se reduce a P x Q = N, y cómo P y Q son ‘muy difíciles de entender’ dado el gran tamaño de N, luego revela su revolucionario Nuevo método de factorizar matemáticamente números grandes, de modo que P x ​​Q = N ya no es tan difícil de descifrar, lo que hace que (casi todas) las criptomonedas sean inválidas. Aunque hollywoodense, algo como esto eventualmente sucederá, con suficiente tiempo.

Related Content

¿Una carrera en ciberseguridad es buena para el futuro?

¿Qué es la seguridad cibernética?

¿Qué es el cifrado de extremo a extremo en Facebook y WhatsApp?

¿Qué medios tecnológicos se utilizan para mitigar las amenazas internas?

¿A través de qué lenguaje informático podemos crear virus?

Si tienen suficientes paquetes que contienen su nombre de usuario / contraseña enviados en formato cifrado; y dado que tienen suficientes recursos (poder de cómputo, buenos diccionarios, etc.) para descifrar esta comunicación, entonces sí podrán verla en texto plano. Ese es todo el punto de descifrado exitoso. Es por eso que debe cambiar, no debe mantener las mismas credenciales durante más de 10 años. Esta es también la razón por la cual la reutilización de contraseñas está mal vista en los círculos infosec.
En una nota al margen, hay una mejor manera de robar credenciales encriptadas llamada Man-in-The-Middle-Attack https://www.cse.msu.edu/~cse825/

Sven Skoog

Potencialmente sí. Sin embargo, si usa PFS (Perfect Forward Secrecy), en teoría, cada sesión debe cifrarse con una clave diferente, lo que hará que descifrar cada sesión sea aún más difícil. Secreto hacia adelante

Pero nadie sabe qué estará disponible o qué se puede hacer en más de 10 años. Podría viajar en el tiempo con el iPhone 196 y usar su potencia informática para descifrar las teclas actuales 🙂

JB Feldman

El problema con descifrar un mensaje corto o una palabra como una contraseña es cómo saber cuándo se descifra el texto correctamente.

El descifrado de fuerza bruta solo está pasando por millones de combinaciones. ¿Pero qué combinación es la correcta? Cuando las computadoras intentan descifrar algo, tienen que analizar el mensaje que descifraron para ver si es legible para los humanos.

Solo una clave correspondiente puede descifrar. Si intenta cualquier otra clave para descifrar, obtendrá bits aleatorios.

Cuando la gente dice que lleva “años descifrar algo” realmente significa que hay muchas descifraciones posibles. Cada intento de descifrado toma una pequeña fracción de segundo y produce algunos caracteres aleatorios.

Para cada descifrado, la computadora debe verificar el mensaje para ver si es ascii o no.

Si su contraseña tiene un carácter no ascii (por ejemplo, unicode) o conteol o incluso carece de palabras en inglés, será más difícil para el descifrado automático saber si tuvo éxito.

Probablemente el descifrador buscaría solicitudes de obtención de http en el flujo de paquetes y si en el candidato para el mensaje descifrado encontrara evidencia de solicitudes de protocolo http, que a diferencia de las contraseñas están estandarizadas, entonces podría estar bastante seguro de que encontró la clave de descifrado correcta.

Andy Gambles

Improbable. La mayoría de los sistemas modernos utilizan un proceso de intercambio de claves en el que la clave de cifrado nunca está realmente disponible en una captura de paquetes, ni siquiera en una descifrada. Estos intercambios clave (Diffie-Hellman, curva elíptica) requieren un conocimiento que solo está disponible en los sistemas a medida que realizan estos cálculos.

La única forma en que alguien podría descifrar su encriptación es si literalmente tiene la capacidad de probar todos los números posibles en el espacio de bits (tamaño de la clave). Eso requeriría la capacidad de hacer una cantidad absurdamente enorme de intentos de craqueo, pero es técnicamente factible.

Sven Skoog

More Interesting

¿Cómo se realiza el cifrado y descifrado utilizando los dos esquemas?

¿Qué es Xprotect que Apple usa como antivirus?

Cómo cifrar datos enviados entre Android (Java) y PHP

¿Cuáles son los tres objetivos clave de la seguridad informática?

¿Ciberataque a Rusia durante su fiesta nacional? ¿Lo que realmente sucedió?

¿Qué productos de consumo de Internet de las cosas tienen más probabilidades de ser explotados por piratas informáticos?

Cómo cambiar mi contraseña de Yahoo para que sea una autenticación de dos pasos más segura

¿Cuáles son algunos delitos cibernéticos comunes?

¿Pueden las Mac adquirir virus?

¿Alguna vez ha sido hackeado el Pentágono?

¿Qué tan seguro es Java?

¿Cómo es tomar CS 161 (seguridad informática) en Berkeley?

¿Cuáles son algunos eventos, tecnologías o desarrollos interesantes / significativos en ciberseguridad?

¿Cuáles son algunas de las preguntas más comunes que se han hecho sobre el futuro de la seguridad empresarial o de red?

¿Pueden los investigadores de seguridad cibernética trabajar en proyectos privados?