211service.com
Honey Encryption engañará a los atacantes con secretos falsos
Ari Juels , un investigador independiente que anteriormente fue científico jefe en la empresa de seguridad informática RSA, cree que falta algo importante en la criptografía que protege nuestros datos confidenciales: el engaño.
Los señuelos y el engaño son herramientas realmente subexplotadas en la seguridad informática fundamental, dice Juels. Juntos con Thomas Ristenpart de la Universidad de Wisconsin, ha desarrollado un nuevo sistema de cifrado con una racha tortuosa. Proporciona a los datos cifrados una capa adicional de protección al proporcionar datos falsos en respuesta a cada suposición incorrecta de la contraseña o clave de cifrado. Si el atacante finalmente adivina correctamente, los datos reales deberían perderse entre la multitud de datos falsos.
El nuevo enfoque podría ser valioso dada la frecuencia con la que grandes alijos cifrados de datos confidenciales caen en manos de los delincuentes. En octubre de 2013, por ejemplo, se tomaron unos 150 millones de nombres de usuario y contraseñas de los servidores de Adobe.
Después de capturar datos cifrados, los delincuentes suelen utilizar software para adivinar repetidamente la contraseña o la clave criptográfica utilizada para protegerlos. El diseño de los sistemas criptográficos convencionales hace que sea fácil saber cuándo tal suposición es correcta o no: la clave incorrecta produce un desorden confuso, no una pieza reconocible de datos brutos.
El enfoque de Juels y Ristenpart, conocido como Honey Encryption, dificulta que un atacante sepa si ha adivinado una contraseña o clave de cifrado correctamente o no. Cuando se utiliza la clave incorrecta para descifrar algo protegido por su sistema, el software Honey Encryption genera una pieza de datos falsos que se asemeja a los datos verdaderos.
Si un atacante usara software para realizar 10,000 intentos de descifrar un número de tarjeta de crédito, por ejemplo, obtendría 10,000 números de tarjeta de crédito falsos diferentes. Cada descifrado parecerá plausible, dice Juels. El atacante no tiene forma de distinguir a priori cuál es la correcta. Juels trabajó previamente con Ron Rivest, el R en RSA, para desarrollar un sistema llamado Palabras de miel para proteger las bases de datos de contraseñas llenándolas también con contraseñas falsas.
Juels y Ristenpart presentarán un trabajo sobre cifrado de miel en el Eurocrypt conferencia de criptografía a finales de este año. Juels también está trabajando en la construcción de un sistema basado en él para proteger los datos almacenados por servicios de administración de contraseñas como Ultimo pase y Dashlane . Estos servicios almacenan todas las diferentes contraseñas de una persona en forma encriptada, protegidas por una única contraseña maestra, para que el software pueda ingresarlas automáticamente en los sitios web.
Los administradores de contraseñas son un buen objetivo para los delincuentes, dice Juels. Él cree que muchas personas usan una contraseña maestra insegura para proteger su colección. La forma en que están construidas desalienta el uso de una contraseña segura porque tiene que escribirla constantemente, también en un dispositivo móvil en muchos casos.
Juels predice que si los delincuentes se apoderaran de una gran colección de bóvedas de contraseñas cifradas, probablemente podrían desbloquear muchas de ellas sin demasiados problemas adivinando las contraseñas maestras. Pero si esas bóvedas estuvieran protegidas con Honey Encryption, cada intento incorrecto de descifrar una bóveda produciría una falsa.
Hristo Bojinov, director ejecutivo y fundador de la empresa de software móvil Anfacto , que ha trabajado anteriormente en el problema de proteger las bóvedas de contraseñas como investigador de seguridad, dice que Honey Encryption podría ayudar a reducir su vulnerabilidad. Pero señala que no todos los tipos de datos serán fáciles de proteger de esta manera, ya que no siempre es posible conocer los datos cifrados con suficiente detalle para producir falsificaciones creíbles. No todos los sistemas de autenticación o encriptación se someten a una 'mejora'.
Juels está de acuerdo, pero está convencido de que hasta ahora se han filtrado suficientes volcados de contraseñas en línea para hacer posible la creación de falsificaciones que imitan con precisión colecciones de contraseñas reales. Actualmente está trabajando en la creación del generador de bóveda de contraseñas falsas necesario para que Honey Encryption se utilice para proteger a los administradores de contraseñas. Este generador se basará en datos de una pequeña colección de bóvedas de administradores de contraseñas filtradas, varias colecciones grandes de contraseñas filtradas y un modelo de uso de contraseñas en el mundo real integrado en un poderoso descifrador de contraseñas.