Virus usando la entrada del micrófono de las víctimas para generar claves de cifrado [cerrado]

-1

Soy un ingeniero de software de Bucarest y he creado una aplicación de autenticación y cifrado basada en audio llamada WaveCrypt. Básicamente, permite a los usuarios cifrar (AES) sus archivos con una WaveKey, una huella digital de audio única que se puede obtener de un archivo Wave (de ahí el nombre de la aplicación. He elegido este formato específico porque no está comprimido). Puede obtener ese archivo wave desde una fuente fuera de línea (CD o simplemente grabarlo en vivo con el complemento de aplicación incorporado) o una fuente en línea (YouTube).

Piense en ello como un cifrado basado en contraseña que utiliza una entrada de audio en su lugar.

Mientras estaba leyendo algunos buenos materiales de arquitectura de sistemas operativos, surgió una nueva idea en mi mente. Si bien puede usarlo para buenos propósitos, también tiene un tremendo potencial para ser usado para causas malas. Piénsalo. Puede diseñar un virus de encriptación que genere su clave de encriptación directamente desde el micrófono de la víctima. Al utilizar esta entrada de audio aleatoria como clave, puede asegurarse de que las claves que utilizará sean completamente imposibles de reproducir. Una función unidireccional verdadera y natural.

No tengo la intención de crear un virus de este tipo (como puedes imaginar, no lo publicaría aquí, ¿verdad?) pero es solo un pensamiento lúdico que quería compartir contigo.

¿Qué piensas acerca del malware de cifrado basado en audio?

    
pregunta Mihai 30.06.2016 - 10:41
fuente

3 respuestas

5

Si usa un sonido "natural", tiene mucha redundancia y esto reduce la fortaleza de la clave (esto puede o no ser crítico para su aplicación).

Debido a que no puede reproducir su clave de sonido, tendrá que almacenarla (en un almacén de claves con contraseña bloqueada). Con esta condición, una clave fuerte generada aleatoriamente siempre es mejor.

    
respondido por el jknappen 30.06.2016 - 10:58
fuente
2

Una idea muy interesante.

Supongo que el malware podría obtener una clave muy difícil de reproducir como esta, sin embargo, podría haber algunos problemas:

  • el micrófono del objetivo está silenciado
  • hay una cantidad muy baja de sonido en la sala; no se captura ningún sonido

Sugeriría tener un mecanismo de reserva para un sistema de creación de claves más clásico si se detectaran tales condiciones.

Supongo que esta técnica no se utiliza por esta razón. Pero muy interesante, sin embargo, nunca lo pensé :)

Por supuesto, la aplicación WaveCrypt se ve muy bien para el uso no malicioso, ya que en ese caso el usuario se asegurará de que el sonido se capture correctamente

    
respondido por el niilzon 30.06.2016 - 10:47
fuente
2

Lo que has inventado es esencialmente un generador de números aleatorios, y no "una verdadera función de una vía". Una función unidireccional es algo que siempre genera la misma salida para la misma entrada, pero no se puede invertir. Usas funciones de una sola vía para hacer hash de las cosas. ¿Cómo harías algo con este esquema?

Entonces, si es un generador de números aleatorios, ¿es criptográficamente seguro? Si bien hay un poco de ruido blanco en todas partes, también hay muchos patrones en el sonido. La calidad del resultado depende de cómo muestree y filtre el audio, pero es posible que esto se pueda hacer de una buena manera. Pero ¿por qué molestarse cuando ya hay buenos CSPRNG disponibles sin jugar con el micrófono?

Sugieres que esto debería usarse para generar claves de cifrado. Esto debería hacerse con un CSPRNG. Pero hasta ahora no ha demostrado por qué su generador sería mejor que los ordinarios que están disponibles en cualquier sistema.

En resumen, has inventado una forma complicada de hacer algo que ya se puede hacer fácilmente.

    
respondido por el Anders 30.06.2016 - 11:13
fuente

Lea otras preguntas en las etiquetas