211service.com
Honey Encryption wird Angreifer mit gefälschten Geheimnissen verwirren
Ari Juels , ein unabhängiger Forscher, der zuvor leitender Wissenschaftler beim Computersicherheitsunternehmen RSA war, ist der Meinung, dass etwas Wichtiges in der Kryptographie zum Schutz unserer sensiblen Daten fehlt: Tricks.
Köder und Täuschung sind in der grundlegenden Computersicherheit wirklich zu wenig genutzte Werkzeuge, sagt Juels. Zusammen mit Thomas Ristenpart von der University of Wisconsin hat er ein neues Verschlüsselungssystem mit einem verschlagenen Ader entwickelt. Es bietet verschlüsselten Daten eine zusätzliche Schutzebene, indem gefälschte Daten als Reaktion auf jede falsche Schätzung des Passworts oder des Verschlüsselungsschlüssels bereitgestellt werden. Wenn der Angreifer schließlich richtig rät, sollten die echten Daten in der Menge gefälschter Daten verloren gehen.
Der neue Ansatz könnte wertvoll sein, wenn man bedenkt, wie häufig große verschlüsselte Datenbestände in die Hände von Kriminellen geraten. Im Oktober 2013 wurden beispielsweise rund 150 Millionen Benutzernamen und Passwörter von Adobe-Servern entnommen.
Nach der Erfassung verschlüsselter Daten verwenden Kriminelle häufig Software, um wiederholt das Passwort oder den kryptografischen Schlüssel zu erraten, mit dem sie geschützt werden. Das Design herkömmlicher kryptografischer Systeme macht es leicht zu wissen, wann eine solche Vermutung richtig ist oder nicht: Der falsche Schlüssel erzeugt ein verstümmeltes Durcheinander, kein erkennbares Stück Rohdaten.
Der Ansatz von Juels und Ristenpart, bekannt als Honey Encryption, erschwert es einem Angreifer, herauszufinden, ob er ein Passwort oder einen Verschlüsselungsschlüssel richtig erraten hat oder nicht. Wenn der falsche Schlüssel verwendet wird, um etwas zu entschlüsseln, das durch ihr System geschützt ist, generiert die Honey Encryption-Software gefälschte Daten, die den wahren Daten ähneln.
Wenn ein Angreifer beispielsweise 10.000 Versuche zur Entschlüsselung einer Kreditkartennummer mit einer Software unternehmen würde, würde er 10.000 verschiedene gefälschte Kreditkartennummern zurückbekommen. Jede Entschlüsselung werde plausibel aussehen, sagt Juels. Der Angreifer hat keine Möglichkeit, a priori zu unterscheiden, was richtig ist. Juels arbeitete zuvor mit Ron Rivest, dem R in RSA, an der Entwicklung eines Systems namens Honigworte Passwortdatenbanken zu schützen, indem sie auch mit falschen Passwörtern gefüllt werden.
Juels und Ristenpart werden einen Vortrag über Honey Encryption auf der Eurocrypt Kryptographie-Konferenz noch in diesem Jahr. Juels arbeitet auch daran, ein darauf basierendes System zum Schutz der Daten zu entwickeln, die von Passwort-Manager-Diensten wie z LastPass und Dashlane . Diese Dienste speichern alle unterschiedlichen Passwörter einer Person in verschlüsselter Form, geschützt durch ein einziges Master-Passwort, damit Software sie automatisch in Websites eingeben kann.
Passwortmanager seien ein schmackhaftes Ziel für Kriminelle, sagt Juels. Er glaubt, dass viele Leute ein unsicheres Master-Passwort verwenden, um ihre Sammlung zu schützen. Die Art und Weise, wie sie aufgebaut sind, rät von der Verwendung eines starken Passworts ab, da Sie es ständig eingeben müssen – in vielen Fällen auch auf einem mobilen Gerät.
Juels sagt voraus, dass, wenn Kriminelle an eine große Sammlung verschlüsselter Passwort-Tresore gelangen, sie wahrscheinlich viele von ihnen ohne allzu große Mühe entsperren könnten, indem sie die Master-Passwörter erraten. Wenn diese Tresore jedoch mit Honey Encryption geschützt wären, würde jeder falsche Versuch, einen Tresor zu entschlüsseln, stattdessen zu einem gefälschten führen.
Hristo Bojinov, CEO und Gründer des mobilen Softwareunternehmens Anfacto , der sich zuvor als Sicherheitsforscher mit dem Problem des Schutzes von Passwort-Vaults beschäftigt hat, sagt, Honey Encryption könnte dazu beitragen, ihre Anfälligkeit zu verringern. Er weist jedoch darauf hin, dass nicht jede Art von Daten auf diese Weise einfach zu schützen ist, da es nicht immer möglich ist, die verschlüsselten Daten detailliert genug zu kennen, um glaubwürdige Fälschungen zu produzieren. Nicht alle Authentifizierungs- oder Verschlüsselungssysteme geben sich dem „Honig“ hin.
Juels stimmt dem zu, ist aber überzeugt, dass mittlerweile genügend Passwort-Dumps online durchgesickert sind, um Fälschungen zu erstellen, die Sammlungen echter Passwörter akkurat nachahmen. Derzeit arbeitet er an der Entwicklung des gefälschten Passwort-Tresor-Generators, der für Honey Encryption zum Schutz von Passwort-Managern benötigt wird. Dieser Generator wird Daten aus einer kleinen Sammlung von durchgesickerten Passwort-Manager-Tresoren, mehreren großen Sammlungen von durchgesickerten Passwörtern und einem Modell der realen Passwortverwendung nutzen, das in einen leistungsstarken Passwort-Cracker integriert ist.