Sweet 32 ​​sfrutta il problema del compleanno ma ExpressVPN non parteciperà alla festa

[ware_item id=33][/ware_item]

Qual è il problema di Sweet 32?


Una vulnerabilità recente, soprannominata Dolce 32 dopo la frase comune per un sedicesimo compleanno (Sweet 16), ha alcune teste grattate a causa della sua dipendenza da un paradosso chiamato problema di compleanno. Ma non è così complicato come sembra ed ExpressVPN ha la soluzione.

Leggendo le notizie in questi giorni, si sente che c'è un nuovo rischio per la sicurezza ogni settimana. Gli exploit e i difetti sono spesso circondati da molta confusione, dichiarazioni generali e correzioni che potrebbero essere state prevenute dalle persone che forniscono il software.

Gli avvisi di sicurezza possono spaventare, soprattutto quando non comprendiamo bene quale sia il problema o se i prodotti che utilizziamo quotidianamente adottano misure sufficienti per proteggere noi e la nostra privacy online

Cosa c'è di così dolce in Sweet 32?

Dicono che i tuoi 30 siano i nuovi 20, il che è piuttosto dolce. Ma, soprattutto, dobbiamo rispondere alla domanda: qual è il problema del compleanno?

La risposta è meglio evidenziata con una domanda analoga: se ci sono 20 persone a una festa, qual è la probabilità che due persone condividano lo stesso compleanno?

Piccolo, potresti pensare. Ma in realtà, la risposta è di circa il 40%.

Aumenta il numero di persone a 30 e la probabilità sale rapidamente al 70%. Quando ci sono 70 persone (meno di un quarto del numero di giorni dell'anno), c'è una probabilità del 99,9% di due persone che condividono lo stesso compleanno.

La matematica dietro il problema del compleanno è radicata nella teoria della probabilità. Invece di provare a calcolare la probabilità che due persone condividano direttamente un compleanno, possiamo semplificare la matematica usando il concetto che la probabilità totale che qualcosa accada o no sarà sempre 1.

Pertanto, il problema del compleanno può essere espresso come "qual è la probabilità che n persone nella stanza non condividano lo stesso compleanno".

Risolve il problema del compleanno

Per brevità, il seguente calcolo non riguarda gli anni bisestili o la possibilità che alcuni compleanni possano essere più comuni di altri.

Se una persona partecipava a una festa da sola, c'è una probabilità del 100% di avere un compleanno unico (365/365). Una seconda persona, tuttavia, potrebbe avere un compleanno unico solo se cadesse in uno dei 364 giorni in cui il primo partecipante non ha compiuto il proprio compleanno (364/365). Successivamente, una terza persona ha a disposizione solo 363 giorni unici per il suo compleanno, un quarto solo 362 giorni e così via.

In una festa di tre, possiamo moltiplicare la probabilità che ogni persona abbia un compleanno unico insieme per arrivare alla probabilità totale di tutti e tre i compleanni diversi.

(365/365) * (364/365) * (363/365) = 0.9918 o 99.18%

Per avere la probabilità che tutte e tre le persone condividano lo stesso compleanno, basta sottrarre le probabilità che non condividano un compleanno dal 100%.

100-99,18 = 0,82%

Promuovendo lo stesso calcolo, le possibilità di 20 persone a una festa che condividono un compleanno possono essere formulate come tali:

((365/365) * (364/365) * (363/365).. (346/365)) = 0,589

1 - 0,589 = 0,411 = 41,1%

In che modo il problema del compleanno si collega alla sicurezza di Internet?

Se consideriamo il numero di giorni dell'anno come la dimensione del blocco e le persone alla festa come blocchi di dati, allora il problema del compleanno può essere applicato ai dati crittografati.

Più blocchi di dati crittografati con la stessa chiave, maggiore è la probabilità che due blocchi di dati condividano lo stesso output (nello stesso modo in cui più persone a una festa aumentano la probabilità che due persone condividano un compleanno).

Due blocchi di dati che condividono lo stesso output sono noti come collisioni e, come sappiamo, raramente le collisioni sono buone ...

Collisioni di dati e limite di compleanno

Il traffico VPN viene comunemente crittografato utilizzando un metodo noto come cifratura a blocchi, che funziona con una quantità fissa (o blocco) di dati anziché con un flusso costante di dati.

Esistono tre cifrature a blocchi ampiamente utilizzate per VPN:

  • Blowfish - utilizza blocchi a 64 bit
  • 3DES - utilizza blocchi a 64 bit
  • AES - utilizza blocchi a 128 bit

Generalmente è considerato sicuro crittografare 2 ^ ([dimensione blocco] / 2) blocchi con una singola chiave di crittografia, ma dopo ciò, la possibilità di collisioni diventa maggiore del 50%. Questa maggiore probabilità di collisione definisce ciò che è noto come limite del compleanno.

Per Blowfish e 3DES, che sono codici a blocchi a 64 bit (8 byte), ciò equivarrebbe a 2 ^ 32 blocchi o 32 GB di dati (da cui il nome, Sweet 32). Ciò significa che esiste una probabilità di collisione superiore al 50% dopo il trasferimento di 32 GB di dati, che non è così tanti dati per una connessione VPN che potrebbero durare diversi giorni.

Confronta questo con i cifrari a blocchi a 128 bit (16 byte), come AES, dove il limite di compleanno è di 2 ^ 64 blocchi o un enorme 274 miliardi di GB di dati.

Perché dovresti essere preoccupato per le collisioni di dati

Nella crittografia, le collisioni potrebbero fornire a un utente malintenzionato un'indicazione del testo in chiaro sottostante (i dati prima della crittografia). Non è così semplice come sembra, poiché l'attaccante dovrebbe iniettare del testo in chiaro noto (forse attraverso un sito Web dannoso) e quindi far sì che il bersaglio trasferisca una grande quantità di dati (per aumentare la probabilità di più collisioni).

Per quanto difficile, è ancora possibile che un utente malintenzionato apprenda un segreto in chiaro (come un cookie di autenticazione per un sito Web) dai dati crittografati accertati attraverso più collisioni. In effetti, i ricercatori che studiano Sweet 32 ​​sono stati in grado di recuperare un cookie all'interno di una sessione Blowfish crittografata in sole 20 ore.

Quindi non è così facile sfruttare Sweet 32?

In breve, no.

Ma è pratico e questa è una ragione sufficiente per considerare tale crittografia non sicura per comunicazioni sicure.

Vale anche la pena notare che i computer, le velocità di download e le dimensioni dei file stanno diventando sempre più veloci, rendendo più possibile un attacco Sweet 32. È sempre meglio mitigare tali attacchi prima che siano disponibili "in natura" e usati contro di te.

Migliore protezione con la crittografia di ExpressVPN

Le connessioni ExpressVPN sono crittografate con una chiave AES-256 (crittografia a blocchi a 128 bit), che impiegherebbe circa 714.000 anni per trasferire dati sufficienti (con una connessione a 100 Mbps abbastanza veloce) per raggiungere il limite di compleanno. E questo presuppone che la stessa chiave di crittografia venga utilizzata per migliaia di anni, il che non è il caso. ExpressVPN cambia regolarmente la chiave, anche mentre si è connessi.

Inoltre, ExpressVPN non registra alcun elemento correlato al tuo utilizzo della VPN e non analizza continuamente nuove minacce per garantire la VPN più sicura del pianeta.

Con ExpressVPN puoi davvero avere la tua torta di compleanno e mangiarla anche tu!

Sweet 32 ​​sfrutta il problema del compleanno ma ExpressVPN non parteciperà alla festa
admin Author
Sorry! The Author has not filled his profile.