Уголок Макса: криптография настоящего, прошлого и будущего

Уголок Макса: криптография настоящего, прошлого и будущего

Источник · Перевод автора

В этом издании Уголок Макса (Max’s Corner) рассматриваются некоторые недавние разработки в области криптографии, стремление Mastercard найти единорогов и новая гонка вооружений в области квантовой криптографии.

Как мы подробно рассмотрели в этой области, существует ряд проблем, которые препятствуют росту криптоиндустрии, не более чем проблемы безопасности и мошенничества. Наши интересы в Bytecoin (bytecoin.org), как на платформе, которая с момента своего создания предлагает решения вопросов конфиденциальности и анонимности, часто совпадают с проблемами разработчиков, которые работают над повышением безопасности в отрасли.

Поэтому с большим интересом я прочитал о криптографических разработках на прошлой неделе в области кодирования и квантовых вычислений.

Самые большие новости с прошлой недели пришли о предполагаемом прорыве в криптографии кодирования в Project Everest. Предварительная версия их работы EverCrypt, призванная создать новую и безопасную основу для онлайн-вычислений, теперь доступна на Github.

Project Everest — это совместные и международные усилия, поддерживаемые группами разработчиков Microsoft в США, Великобритании и Индии, а также Университетом Карнеги-Меллона и французским исследовательским институтом Inria.

Everest утверждал, что текущее состояние безопасности в Интернете ненадежно. Был целый ряд массовых атак, которые выявили слабые места в структуре, на которой был построен интернет. Уязвимость Heartbleed — пример слабостей, которые могут быть обнаружены плохими актерами.

Уязвимость Heartbleed, обнаруженная еще в 2014 году, на самом деле не была результатом ошибки в криптографических протоколах TLS (Transport Layer Security) или SSL (Secure Sockets Layer).

Ошибка возникла из-за непримечательной ошибки в программировании для OpenSSL, популярной библиотеки TLS / SSL, используемой различными операционными системами, веб-браузерами, приложениями и аппаратными устройствами. Хакеры смогли использовать уязвимость кода в OpenSSL, чтобы заставить серверы, которые использовали библиотеку, выпускать конфиденциальные пользовательские данные из своего банка памяти.

Эти данные варьировались от частных паролей до сеансовых ключей TLS и закрытых ключей сервера, владение которыми может облегчить расшифровку прошлых и будущих транзакций данных на сервере.

Хотя исправление проблемы, как только она была выявлена, не было трудоемким — все, что нужно было сделать, — это обновить новейший патч библиотеки OpenSSL — уязвимость имела долговременные последствия, а утечка данных, которую она вызывала, была настолько распространена, что попытки остановить поток был по необходимости геркулесовым.

Как только один сервер становится доступным, весь трафик, обрабатываемый этим сервером, также подвергается риску, и все прошлые и будущие пользователи подвергаются риску.

Уязвимость Heartbleed — это лишь одна из нескольких достойных сожаления страниц в истории онлайн-транзакций с данными, но она делится со многими другими данными, которые приводят к простой человеческой ошибке.

Не ошибка самого кода в том, что дверь была открыта для конфиденциальных данных, а человеческая халатность. Уравнения возможностей очень сложных систем, которые выходят за пределы возможного для человека, все еще приводятся в движение человеком и поэтому подчиняются его ограничениям, какими бы ничтожными они ни были в сравнении.

В настоящее время состав веб-безопасности состоит из комбинации объектов, которые включают в себя TLS, HTTPS, криптографические алгоритмы и другие структуры. EverCrypt был разработан как средство улучшения TLS и уменьшения количества человеческих ошибок, возможных в криптографии.

В блоге Microsoft Джонатан Проценко написал:

«Внедрение TLS, гарантирующее с математической уверенностью, что ваши сообщения будут конфиденциальными и защищенными, является огромным и амбициозным усилием. Как и строительство пирамиды, оно требует прочного фундамента. Такая реализация требует последовательных проверенных программных уровней, начиная с необработанных криптографических алгоритмов, за которыми следует поставщик криптографических данных. Критически важный компонент, поставщик криптографии, объединяет эти автономные алгоритмы в единую коллекцию для удовлетворения требований безопасности протокола. Сегодня мы рады представить вам первого полностью проверенного криптографического провайдера».

В то время как усовершенствования, которые EverCrypt внесет в общую криптографию, будут неизменно влиять на блокчейн-технологию, поскольку прогресс, достигнутый его разработчиками, отражается в широком море онлайн-деятельности, где проект может оказать наиболее неизгладимое влияние, в качестве модели для DLT. Проценко продолжил писать в блоге о желании создать единую всеобъемлющую библиотеку, в которой разработчики могут найти «асимметричное и симметричное шифрование и подпись, хеширование и получение ключей». Это будут более чем знакомые термины для тех из нас, кто находится в блокчейн-сообществе.

Это обнадеживающее событие в то время, когда как кибербезопасность в целом, так и крипто, в частности, могут использовать вливание безопасности.

Поиск Mastercard, Поиск Единорогов

По прошествии времени и зрелости криптоиндустрии все больше и больше учреждений начинают рассматривать ее как плодоносную почву для будущей прибыли. Такие компании, как JP Morgan, IBM и Paypal, это лишь некоторые из корпораций, которые мы инвестировали в криптовалютные проекты и блокчейн-технологии.

Но это все еще очень развивающаяся отрасль, и количество специалистов в ней значительно перевешивается потребностью в дополнительных специалистах. В то время как существует множество программ, направленных на привлечение новых криптографов для присоединения к растущей индустрии, Mastercard пошла еще дальше и профинансировала программу, направленную на то, чтобы побудить девушек развивать навыки в новых технологиях.

Программа STEM компании Girls4Tech недавно впервые появилась на Фестивале науки и техники в США в надежде вдохновить новое поколение молодых женщин на достижения в области криптографии. Отвечая на вопрос о целях компании с Girls4Tech, Дана Лорберг (Dana Lorberg), исполнительный вице-президент по операциям и технологиям MasterCard, пояснила:

«Криптография и кибербезопасность являются важнейшими областями … но найти женщин в них — все равно что найти единорогов».

Включена гонка квантовой криптографии

Хотя ранее мы рассматривали усилия, предпринимаемые для повышения безопасности пользовательских данных и онлайн-активности в том виде, в каком они определены сегодня, стороны в настоящее время находятся в процессе более масштабного конфликта, который предположительно должен состояться в ближайшем будущем. Поле действия будет квантовыми вычислениями, и все существующие данные будут в игре. Использование квантовых и суперкомпьютеров потенциально может позволить злоумышленникам проникнуть и поставить под угрозу даже самые чувствительные и высоко-защищенные сети.

С учетом национальной и финансовой безопасности страны всего мира стремятся разработать квантовые криптографические средства защиты конфиденциальных данных. В качестве средства борьбы с возникающей угрозой, создаваемой такого рода вычислениями следующего уровня,

Национальный институт стандартов и технологий запустил программу постквантовой криптографии, в которой участникам предлагается создать набор алгоритмов, устойчивых к квантовым воздействиям.

Сроки, изложенные в большинстве прогнозов, относятся к рассвету следующего века вычислений, который наступит через десять лет. Процессоры, которые будут выпущены, будут работать на кубитах — фотонах, нейтронах, протонах и электронах, а не на единицах и нулях современных машин.

Поскольку Америка и Китай ведут гонку за квантом, ось онлайн-власти и все грани онлайн-жизни, вероятно, сместятся в соответствии с результатом.