Sweet 32 ​​utnytter bursdagsproblemet, men ExpressVPN vil ikke være med på festen

[ware_item id=33][/ware_item]

Hva er Sweet 32-problemet?


En nylig sårbarhet, kalt Søt 32 etter den vanlige frasen for en 16-årsdag (Sweet 16), har noen kløende hoder på grunn av sin avhengighet av et paradoks kalt bursdagsproblem. Men det er ikke så komplisert som det virker, og ExpressVPN har løsningen.

Når du leser nyhetene i disse dager, føles det at det er en ny sikkerhetsrisiko hver uke. Anvendelser og mangler er ofte omgitt av mye forvirring, brede uttalelser og rettelser som kunne vært forhindret av personene som leverer programvaren..

Sikkerhetsvarsler kan være skumle, spesielt når vi ikke helt forstår hva problemet er, eller om produktene vi bruker dag til dag iverksetter tilstrekkelige tiltak for å beskytte oss og vårt online personvern

Hva er så søtt med Sweet 32?

De sier at 30-årene er de nye 20-årene, noe som er ganske søtt. Men enda viktigere er det at vi må svare på spørsmålet: Hva er bursdagsproblemet??

Svaret fremheves best med et analogt spørsmål: Hvis det er 20 personer på en fest, hva er sannsynligheten for at to personer vil dele den samme bursdagen?

Liten, tenker du kanskje. Men faktisk er svaret rundt 40%.

Øk antall personer til 30, og sannsynligheten stiger raskt til 70%. Når det er 70 personer (mindre enn en fjerdedel av antall dager i året), er det 99,9% sannsynlighet for at to personer deler samme bursdag.

Regnestykket bak bursdagsproblemet er forankret i sannsynlighetsteori. I stedet for å prøve å beregne sannsynligheten for at to personer deler en bursdag direkte, kan vi forenkle matematikken ved å bruke konseptet om at den totale sannsynligheten for at noe skal skje eller ikke alltid vil være 1.

Derfor kan bursdagsproblemet uttrykkes som "hva er sannsynligheten for at n mennesker i rommet ikke deler samme bursdag."

Jobber ut bursdagsproblemet

For kortfattethet gjelder følgende beregning ikke skuddår eller sjansen for at noen bursdager kan være vanligere enn andre.

Hvis en person var på fest alene, er det 100% sjanse for at de får en unik bursdag (365/365). En annen person kunne imidlertid bare ha en unik bursdag hvis den falt på en av de 364 dagene den første festgutten ikke har bursdag (364/365). Deretter har en tredje person bare 363 unike dager tilgjengelig for bursdagen sin, en fjerde bare 362 dager, og så videre.

I et parti på tre kan vi multiplisere sannsynligheten for at hver person har en unik bursdag sammen for å komme frem til den totale sannsynligheten for at alle tre har forskjellige bursdager.

(365/365) * (364/365) * (363/365) = 0,9918 eller 99,18%

For å få sannsynligheten for at alle tre personene har samme bursdag, er det bare å trekke sjansene for at de ikke deler bursdag fra 100%.

100-99,18 = 0,82%

For å videreføre samme beregning, kan sjansen for at 20 personer på en fest som deler bursdag formuleres som sådan:

((365/365) * (364/365) * (363/365) ... (346/365)) = 0,589

1 - 0,589 = 0,411 = 41,1%

Hvordan forholder bursdagsproblemet seg til internettsikkerhet?

Hvis vi ser på antall dager i året som blokkstørrelse og folk på festen som datablokker, kan bursdagsproblemet brukes på krypterte data.

Jo flere datablokker som er kryptert med den samme nøkkelen, jo større er sannsynligheten for at to datablokker vil dele den samme utdata (på samme måte som flere mennesker på en fest øker sannsynligheten for at to personer vil dele bursdag).

To datablokker som deler samme output er kjent som en kollisjon, og som kjent er kollisjoner sjelden gode ...

Datakollisjoner og bursdagen bundet

VPN-trafikk blir ofte kryptert ved bruk av en metode kjent som en blokkkryptering, som fungerer med en fast mengde (eller blokk) av data i motsetning til en konstant strøm av data.

Det er tre mye brukte blokkeringssifere for VPN:

  • Blowfish - bruker 64-biters blokker
  • 3DES - bruker 64-biters blokker
  • AES - bruker 128-bit blokker

Det anses generelt som trygt å kryptere 2 ^ ([blokkstørrelse] / 2) blokker med en enkelt krypteringsnøkkel, men etter dette blir sjansen for kollisjon større enn 50%. Denne økte sannsynligheten for kollisjon definerer det som er kjent som bursdagen bundet.

For Blowfish og 3DES, som er 64-biters (8 byte) blokkeringssifere, tilsvarer dette 2 ^ 32 blokker eller 32 GB data (derav navnet Sweet 32). Det betyr at det er større enn 50% sjanse for en kollisjon etter at 32 GB data er overført - noe som ikke er så mye data for en VPN-tilkobling som kan vare flere dager.

Sammenlign dette med 128-biters (16 byte) blokkeringssifere, for eksempel AES, der bursdagen er bundet til 2 ^ 64 blokker, eller en massiv 274 milliarder GB data.

Hvorfor du bør være bekymret for datakollisjoner

Ved kryptografi kan kollisjoner gi en angriper en viss indikasjon på den underliggende klarteksten (dataene før kryptering). Det er ikke så enkelt som det høres ut, da angriperen ville trenge å injisere litt kjent tekst (kanskje gjennom et ondsinnet nettsted) og deretter få målet til å overføre en stor mengde data (for å øke sannsynligheten for flere kollisjoner).

Hvor vanskelig det er, er det fremdeles mulig for en angriper å lære seg en ren teksthemmelighet (for eksempel en autentiserings-informasjonskapsel for et nettsted) fra kryptert data som blir konstatert gjennom flere kollisjoner. Faktisk kunne forskere som studerer Sweet 32 ​​hente en informasjonskapsel fra en kryptert Blowfish-økt i løpet av bare 20 timer.

Så det er ikke så lett å utnytte Sweet 32?

Kort sagt, nei.

Men det er praktisk, og det er grunnen til å vurdere en slik kryptering som utrygg for sikker kommunikasjon.

Det er også verdt å merke seg at datamaskiner, nedlastingshastigheter og filstørrelser blir raskere og større, noe som gjør et Sweet 32-angrep mer mulig. Det er alltid best å avbøte slike angrep før de er tilgjengelige "ute i naturen" og brukes mot deg.

Bedre beskyttelse med ExpressVPNs kryptering

ExpressVPN-tilkoblinger er kryptert med en AES-256-nøkkel (128-bits blokkkryptering), noe som vil ta rundt 714 000 år å overføre nok data (med en ganske tøff tilkobling på 100 Mbps) for å nå bursdagen. Og det forutsetter at den samme krypteringsnøkkelen er brukt i tusenvis av år, noe som ikke er tilfelle. ExpressVPN endrer nøkkelen regelmessig, selv mens du er tilkoblet.

I tillegg til dette logger ikke ExpressVPN noe relatert til din bruk av VPN, og analyserer kontinuerlig nye trusler for å sikre den mest sikre VPN på planeten.

Med ExpressVPN kan du virkelig ha bursdagskaken din, og spise den også!

Sweet 32 ​​utnytter bursdagsproblemet, men ExpressVPN vil ikke være med på festen
admin Author
Sorry! The Author has not filled his profile.