¿Cómo CryptoDefense ransomware encripta los datos grandes con una clave RSA (relativamente) pequeña?

Navega tus respuestas
2

Recientemente encontré algunas noticias sobre el nuevo Ransomware llamado CryptoDefense: utiliza RSA 2048 para cifrar sus objetos de valor y ofrece la clave privada por un precio. (Ya se resolvió porque la clave privada aparentemente se almacena en caché localmente)

Sin embargo, mi pregunta es ¿cómo este software en realidad cifra archivos grandes de un tamaño arbitrario, como fotos y documentos de texto que pueden tener un tamaño de archivo de 1 MB + con una clave RSA 2048? ¿Es en realidad RSA + AES o solo utiliza RSA 2048 dividiendo los archivos en pequeños bloques de alguna manera?

He intentado encontrar un análisis detallado del software en Google al no encontrar nada útil, ya que casi todos los artículos se centran en sus inseguros mecanismos RSA o en las ganancias de bitcoin.

    
pregunta David Zech 07.04.2014 - 20:37
fuente

1 respuesta

1

En términos generales, esto se denomina cifrado híbrido . Cuando necesitamos cifrar una gran cantidad de datos con RSA, bueno, no lo hacemos; Esto no solo sería altamente ineficiente, sino que tampoco sabemos realmente cómo una gran parte de los datos se debe dividir en pequeños mensajes para ser cifrados individualmente con RSA: desde el punto de vista de un criptógrafo, este es un problema no trivial. que ya es lo suficientemente difícil para los cifrados de bloque (para los cifrados de bloque, este problema da como resultado modos de operación que ya son un tema complejo ; con RSA las cosas son simplemente peores).

En su lugar, generamos una clave simétrica K , encriptamos K con RSA, y encriptamos la mayor parte de los datos con K , usando una algoritmo que es bueno para eso, y eso significa cifrado simétrico (por ejemplo, AES en un modo adecuado).

Si el autor de ransomware conoce su oficio (lo cual es de esperar, porque nada es más molesto que ser atacado por un incompetente), entonces utilizó el cifrado híbrido.

    
respondido por el Thomas Pornin 07.04.2014 - 20:41
fuente

Lea otras preguntas en las etiquetas

¿Es la autenticación IPSEC entre hosts locales una parte del comportamiento normal en una red de Windows? ¿Se pueden escuchar los teléfonos IP si hay acceso de administrador disponible?