Versija 1 nuo 2019-11-25 19:16:52

Išvalyti žinutę

Locked History Actions

Tide protocol

Tide protocol

Tide protokolas

Įvadas

Dėl kasdienių duomenų pažeidimų, kai įsilaužėliai pavogia šimtus milijonų neskelbtinų duomenų, viena pelno nesiekianti organizacija turi tikslą – aprūpinti pasaulį tokiu apsaugos lygiu, kuris neleistų asmenims prarasti savo duomenų. „Tide.org“ sukūrė naują šifravimo schemą, vadinamą „Suskaidymu“ (angl. „Splintering“), kuri paverčia vartotojo vardo ir slaptažodžio autentifikavimą 14 mln. procentų sunkiau nulaužiamą. 2019 m. gegužės mėn. vykstančioje „Tide H4X“ kampanijoje pati organizacija „Tide.org“ pakvietė įsilaužėlius nulaužti vieną naudotoją (vardą / slaptažodį). Organizacija vadovavosi šūkiu, „Jeigu kam nors pavyks įsilaužti, mes grįšim prie braižymo etapo ir bandysim iš naujo“,o tam kuris įsilauš prizas – vienas „Bitcoin“. Tačiau net gavus užuominų iš „Tide“ komandos, po 6,5 milijono bandymų nė vienam iš įsilaužėlių nepavyko to padaryti.

Terminologija, protokolo architektūra ir struktūrinė schema

Seeker (Ieškotojai) – bet kuri organizacija ar įmonė, siekianti užmegzti ar rinkti vartotojų duomenis. Vendor (Pardavėjai) – bet kuri su vartotojais susijusi organizacija ar įmonė, kuri renka, tvarko ir saugo vartotojų duomenis. Consumer (Vartotojas) – bet kuris fizinis asmuo, kuris Pardavėjo duomenų bazėje turi unikalų identifikavimo arba duomenų pėdsaką. Smart Contract (Išmanioji sutartis) – kompiuterinis protokolas, skirtas skaitmeniniu būdu palengvinti, patvirtinti ar priversti vykdyti derybas ar vykdyti sutartį. ORK (Orchestrated Recluder of Keys) – Tide protokolo decentralizuoti mazgai. Key Pair (Raktų pora) – susideda iš slapto rakto (angl. SK(Secret Key)) ir viešojo rakto (angl. PK(Public Key)).

„Splintering“ sąvoka

Siekiant šio tikslo, buvo sukurta technika, kuri pavadinta „Suskaidymu“ (angl. „Splintering“). Aukštu lygiu tai reiškia, kad reikia sumažinti bet kokių slaptažodžių fragmentų, bendrinamų su ORK, dydį ir paskirstyti juos papildomuose ORK. Reikia pasiekti tokį susiskaidymo lygį, kai konceptualiai bet kuris ORK fragmentas tampa įprastu, nes galimų klaidingų teigiamų atitikimų slaptažodžio alternatyvoms skaičius daro žodyno ataką („Dictionary attack“) nepraktišką. Stebėtinai dažnai pasitaiko atvejų, kai net didžiausios technologijų kompanijos saugo slaptažodžius savo duomenų bazėje aiškaus teksto formatu („Facebook“, „Google“), geriausia praktika užtikrintų, kad slaptažodžiai būtų saugomi tik kaip saugios maišos. Saugus maišos būdas yra vienpusis veiksmas, leidžiantis bet kokio ilgio eilutę įvesti į simbolių eilutę, kuri visada yra vienodo ilgio, neatsižvelgiant į įvesties eilutės ilgį. Yra daugybė maišos turinio algoritmų. SHA256, suprojektuota Nacionalinės saugumo agentūros, grąžins unikalų 32 baitų masyvą bet kuriai eilutei. Pvz., Slaptažodžio „123456“ maišos sritis: „8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92“.Maišymas yra vienpusio veiksmo rezultatas, jis negali būti pritaikytas atvirkštiniam panaudojimui norint atkurti pradinę eilutę. Maišytojo slaptažodžio negalima identifikuoti iš jo atitinkamos maišos. Tačiau ta pati originali eilutė (arba slaptažodis) visada duos identišką maišą. Taigi, jei įsilaužėlis bet kokiomis priemonėmis sugeba susieti slaptažodžių maišos duomenis su originaliu slaptažodžiu, tada bet kurią kitą sąskaitą, identifikuotą tuo pačiu slaptažodžiu, taip pat gali pasiekti tuo pačiu slaptažodžiu su 100% užtikrintumu. Bendrieji slaptažodžiai, tokie kaip „123456“, kuriuos pasirenka daugelis vartotojų, tik palengvina atitikimo procesą per žodyno atakas (angl. „Dictionary attacks“). Jei užuot saugoję pilną slaptažodžių maišalynę kiekviename ORK, būtų saugomi tik pirmieji 16 bitų (t.y. 16 bitų „Splinter“), tada palyginti galima tik tą „Splinter“ ir pradedame matyti susidūrimus, kur „Splinter“ galėtų būti taikomas daugybei slaptažodžių. Pvz., „8d96“ padalijimas („Splinter“) gali būti taikomas tiek „123456“, tiek „linked92“ slaptažodžiams. Kai užpuolikas bando panaudoti žodyno ataką šioms skeveldroms („Splinters“), rezultatas nebėra 100%, nes skirtingi slaptažodžiai turi tuos pačius splinterius. Jei dar labiau sumažiname atplaišų dydį iki 8 bitų, klaidingų teigiamų skaičių tampa dar daugiau. Jei bendras maišos tūris yra tik 8 bitai, užpuolikas gali lengvai atlikti žiaurios jėgos išpuolį (angl. „Brute force attack“), nes yra tik 256 galimybės teisingai atspėti vertę. Tačiau jei slaptas vartotojo atkūrimo slenkstis būtų 32, o jų 8 bitų atplaišos būtų dalijamos su 40 skirtingų ORK mazgų ir kiekviena iš šių atplaišų būtų užrakinta skirtingu unikaliu kiekvieno ORK mazgo identifikatoriumi, užpuolikas turės bandyti ne tik 256 kartus, bet 25632 skirtingas alternatyvas. Tai atitinka tas pačias pastangas vykdant brutalios jėgos išpuolį (angl. „Brute force attack“), kai maišos dydis yra 256 bitai. Šis dalinio maišos tikrinimo procesas, kurį skirtingi mazgai padarė autentifikavimo metu, buvo pavadintas: Splintering.

„Splintering“ efektyvumo patikrinimas

Norint patvirtinti šią koncepciją, buvo atliktas tikslinis tyrimas, kuriame kaip bandymo duomenų rinkinys buvo panaudoti nutekinti 60 milijonų „LinkedIn“ vartotojų duomenys.

[PRIDĖTI]

Telefoninis fišingas (angl. vishing)

Kažkuo panašu į Lietuvoje paplitusius telefoninius sukčius. Yra naudojama išgauti konfidencialią informaciją. Dažnai naudojamasi Voice over internet protocol paslaugomis, tai padeda automatizuoti procesą bei suteikia galimybę suklastoti skambintojo ID (pvz. policijos, banko ar kt.). Atsiliepusi auka nukreipiama į „banką“ ar kitą instituciją, kur paprašoma suvesti PIN kodus ar kitą konfidencialią informaciją. Įdomu, jog sistema specialiai atmetinėja aukos suvedamus slaptažodžius, tokiu būdu atskleidžiant daugiau nei viena slaptažodį.

Išvados

Nors slaptažodžių autentifikavimas turi daug skylių ir yra linkęs būti atakuojamas įvairių išpuolių platintojų, jo, kaip pagrindinio autentifikavimo metodo, paplitimas išlieka didelis dėl jo naudojimo paprastumo. Tokios sąvokos kaip decentralizavimas gali būti panaudotos norint žymiai pagerinti slaptažodžių autentifikavimo saugumą, o tai, kartu su papildomais metodais, gali išplėsti labiausiai paplitusio internetinio autentifikavimo metodo gyvybingumą. „Splintering“ yra slaptažodžių atpažinimo saugumo perversmas tradicinėje aplinkoje, decentralizuotų aplinkų, kuriose nėra jokių papildomų apsaugų, naudojimas, tikėtina, suteiks papildomų galimybių tobulėti. Tolesni šios srities tyrimai gali sumažinti dažniausiai pasitaikančių slaptažodžių, tokių kaip „123456“, paskirstymo pėdsaką, sumažinti mazgų skaičių, reikalingų norint išlaikyti 256 bitų maišos teikiamą saugumo lygį ir bendrai pagerinti saugos lygį.

Literatūros sąrašas

1. https://tide.org/blog/tideprotocolprotection

2. https://www.darkreading.com/operations/new-technique-makes-passwords-14m-percent-harder-to-crack-nonprofit-claims/d/d-id/1335748

3. https://micky.com.au/blockchain-based-protocol-eliminates-password-breaches/

4. https://jaxenter.com/blockchain-tide-protocol-splintering-162073.html

5. https://tide.org/Tide_Whitepaper.pdf

6. https://github.com/tide-foundation/Tide-h4x-for-Privacy