Sweet 32 ​​explota el problema del cumpleaños, pero ExpressVPN no estará en la fiesta

[ware_item id=33][/ware_item]

¿Cuál es el problema de Sweet 32?


Una vulnerabilidad reciente, doblada Dulce 32 después de la frase común para un cumpleaños número 16 (Sweet 16), tiene algunos rasguños debido a su dependencia de una paradoja llamada problema de cumpleaños. Pero no es tan complicado como parece, y ExpressVPN tiene la solución.

Al leer las noticias en estos días, se siente que hay un nuevo riesgo de seguridad cada semana. Las vulnerabilidades y los defectos a menudo están rodeados de mucha confusión, declaraciones amplias y soluciones que las personas que suministran el software podrían haber evitado..

Las alertas de seguridad pueden dar miedo, especialmente cuando no entendemos bien cuál es el problema o si los productos que usamos día a día están tomando medidas suficientes para protegernos a nosotros y a nuestra privacidad en línea.

¿Qué tiene de dulce Sweet 32??

Dicen que tus 30 son los nuevos 20, lo cual es bastante dulce. Pero, lo que es más importante, debemos responder la pregunta: ¿Cuál es el problema del cumpleaños??

La respuesta se destaca mejor con una pregunta análoga: si hay 20 personas en una fiesta, ¿cuál es la probabilidad de que dos personas compartan el mismo cumpleaños??

Pequeño, podrías pensar. Pero en realidad, la respuesta es alrededor del 40%.

Aumenta el número de personas a 30, y la probabilidad aumenta rápidamente al 70%. Cuando hay 70 personas (menos de una cuarta parte del número de días en el año), hay una probabilidad del 99.9% de que dos personas compartan el mismo cumpleaños.

La matemática detrás del problema del cumpleaños se basa en la teoría de la probabilidad. En lugar de tratar de calcular la probabilidad de que dos personas compartan un cumpleaños directamente, podemos simplificar las matemáticas usando el concepto de que la probabilidad total de que algo suceda o no siempre será 1.

Por lo tanto, el problema del cumpleaños se puede expresar como "cuál es la probabilidad de que n personas en la sala no compartan el mismo cumpleaños".

Resolviendo el problema del cumpleaños

Por brevedad, el siguiente cálculo no se refiere a los años bisiestos ni a la posibilidad de que algunos cumpleaños sean más comunes que otros.

Si una persona estuviera sola en una fiesta, hay un 100% de posibilidades de que tengan un cumpleaños único (365/365). Sin embargo, una segunda persona solo podría tener un cumpleaños único si se cumpliera uno de los 364 días que el primer participante no cumple años (364/365). Posteriormente, una tercera persona solo tiene 363 días únicos disponibles para su cumpleaños, un cuarto solo 362 días, etc..

En un grupo de tres, podemos multiplicar la probabilidad de que cada persona tenga un cumpleaños único juntos para llegar a la probabilidad total de que los tres tengan cumpleaños diferentes..

(365/365) * (364/365) * (363/365) = 0.9918 o 99.18%

Para obtener la probabilidad de que las tres personas compartan el mismo cumpleaños, simplemente reste las posibilidades de que no compartan un cumpleaños del 100%.

100-99.18 = 0.82%

Siguiendo el mismo cálculo, las posibilidades de que 20 personas en una fiesta compartan un cumpleaños se pueden formular de la siguiente manera:

((365/365) * (364/365) * (363/365)... (346/365)) = 0.589

1 - 0.589 = 0.411 = 41.1%

¿Cómo se relaciona el problema del cumpleaños con la seguridad de Internet??

Si consideramos el número de días en el año como el tamaño del bloque y las personas en la fiesta como bloques de datos, entonces el problema del cumpleaños puede aplicarse a los datos cifrados.

Cuantos más bloques de datos se cifren con la misma clave, mayor será la probabilidad de que dos bloques de datos compartan la misma salida (de la misma manera que más personas en una fiesta aumentan la probabilidad de que dos personas compartan un cumpleaños).

Dos bloques de datos que comparten la misma salida se conocen como colisión y, como sabemos, las colisiones rara vez son buenas ...

Colisiones de datos y la fecha de cumpleaños

El tráfico VPN se encripta comúnmente utilizando un método conocido como cifrado de bloque, que funciona con una cantidad fija (o bloque) de datos en lugar de un flujo constante de datos.

Hay tres cifrados de bloque ampliamente utilizados para VPN:

  • Blowfish - utiliza bloques de 64 bits
  • 3DES - utiliza bloques de 64 bits
  • AES - utiliza bloques de 128 bits

En general, se considera seguro cifrar bloques 2 ^ ([tamaño de bloque] / 2) con una sola clave de cifrado, pero después de esto, la posibilidad de colisiones es mayor al 50%. Esta mayor probabilidad de colisión define lo que se conoce como el límite de cumpleaños..

Para Blowfish y 3DES, que son cifrados de bloque de 64 bits (8 bytes), esto equivaldría a 2 ^ 32 bloques o 32 GB de datos (de ahí el nombre, Sweet 32). Lo que significa que hay una probabilidad mayor de 50% de colisión después de que se hayan transferido 32 GB de datos, que no son tantos datos para una conexión VPN que puede durar varios días..

Compare esto con cifrados de bloque de 128 bits (16 bytes), como AES, donde el límite de cumpleaños es 2 ^ 64 bloques, o una enorme cantidad de datos de 274 mil millones de GB.

¿Por qué debería preocuparse por las colisiones de datos?

En criptografía, las colisiones podrían dar al atacante alguna indicación del texto sin formato subyacente (los datos antes del cifrado). No es tan simple como parece, ya que el atacante necesitaría inyectar un texto simple conocido (tal vez a través de un sitio web malicioso) y luego hacer que el objetivo transfiera una gran cantidad de datos (para aumentar la probabilidad de colisiones múltiples).

Por difícil que sea, todavía es factible que un atacante aprenda un secreto de texto sin formato (como una cookie de autenticación para un sitio web) a partir de datos cifrados determinados a través de múltiples colisiones. De hecho, los investigadores que estudiaron Sweet 32 ​​pudieron recuperar una cookie desde una sesión cifrada de Blowfish en solo 20 horas..

Entonces no es tan fácil explotar Sweet 32?

En resumen, no.

Pero es práctico, y esa es razón suficiente para considerar que dicho cifrado no es seguro para comunicaciones seguras.

También vale la pena señalar que las computadoras, las velocidades de descarga y el tamaño de los archivos son cada vez más rápidos y más grandes, lo que hace que un ataque Sweet 32 ​​sea más factible. Siempre es mejor mitigar tales ataques antes de que estén disponibles "en la naturaleza" y se usen contra ti.

Mejor protección con el cifrado de ExpressVPN

Las conexiones ExpressVPN están encriptadas con una clave AES-256 (cifrado de bloque de 128 bits), que tomaría alrededor de 714,000 años para transferir suficientes datos (con una conexión bastante rápida de 100mbps) para alcanzar el límite de cumpleaños. Y suponiendo que se use la misma clave de cifrado durante miles de años, lo cual no es el caso. ExpressVPN cambia la clave regularmente, incluso mientras está conectado.

Además de esto, ExpressVPN no registra nada relacionado con su uso de la VPN y analiza continuamente nuevas amenazas para garantizar la VPN más segura del planeta.

Con ExpressVPN realmente puedes tener tu pastel de cumpleaños y comértelo también!

Sweet 32 ​​explota el problema del cumpleaños, pero ExpressVPN no estará en la fiesta
admin Author
Sorry! The Author has not filled his profile.