Soy un recién llegado a la criptografía y me preguntaba con qué frecuencia los sistemas son atacados por sistemas criptográficos de craqueo en el mundo real. ¿Es práctico estudiar la criptografía como hacker?
Soy un recién llegado a la criptografía y me preguntaba con qué frecuencia los sistemas son atacados por sistemas criptográficos de craqueo en el mundo real. ¿Es práctico estudiar la criptografía como hacker?
Los sistemas criptográficos, si se hacen correctamente, suelen ser herméticos en términos matemáticos. Esto significa que en la mayoría de los casos, un adversario polinomial eficiente (que es un adversario que puede durar 100 años) solo tiene una probabilidad de éxito insignificante (que no nos importa).
Desafortunadamente, aunque un cifrado puede ser sólido en el papel, a menudo se puede implementar erróneamente, por lo que puede obtener información sobre la clave o el texto simple mediante observar el dispositivo o atacar el generador de números aleatorios o cualquier otro canal lateral .
Aparte de eso, las organizaciones y los proveedores que se respetan a sí mismos actualizarán su software cuando los cifrados previamente considerados seguros están comprobados ser cualquier cosa menos.
No soy de ninguna manera un experto en criptografía, pero lo he estudiado un poco y me abrió los ojos a la belleza y la sutileza de las matemáticas, algo que antes creía que no era necesario. También es muy interesante ver cómo funcionan las cosas en las que confiamos para nuestra seguridad, y más o menos de eso se trata el hacking. Mi respuesta sería, hacker o no, estudiar criptografía por sus propios méritos, pero sin duda puede ayudarlo en su trabajo como pentester o programador.
A menos que se trate de un algoritmo débil conocido, probablemente nunca, el criptografía está diseñado específicamente para soportar ataques directos, por lo que tratar de romper la criptografía mediante la fuerza bruta es como intentar incapacitar un tanque disparando al lugar donde la armadura es la más fuerte. .
Normalmente, atacaría los canales de comunicación y buscaría formas de vencer la criptografía aprovechando las debilidades de la implementación (ataques de canal lateral, ingeniería social, intercambio de claves o mecanismos de derivación de claves, etc.).
Según mi experiencia, depende de dónde y qué es el cripto y en qué punto estás atacando.
Si está atacando la propia criptografía por fallas en la implementación:
Pero si está atacando el resultado de un cifrado de baja calidad y contraseñas débiles:
Si el cifrado de su archivo, generalmente es posible forzar la contraseña de forma bruta suponiendo que tenga algún conocimiento de la empresa.
Si sus cuentas de usuario descifran contraseñas cifradas / con hash almacenadas en una base de datos de algún tipo (utilizando un algoritmo débil como MD5 sin sal), generalmente es muy fácil, ya que la mayoría de las personas eligen contraseñas débiles. >
En realidad, encontrar fallas en cosas como AES, MD5, TLS / SSL, etc. es bastante difícil (muchos expertos han pasado mucho tiempo revisándolos), pero buscar vulnerabilidades en la implementación de las mismas es un poco más fácil. Además, buscar las vulnerabilidades causadas por problemas humanos (como la falta de seguridad de las contraseñas) es la opción más fácil disponible.
Lea otras preguntas en las etiquetas cryptography