miércoles, 23 de septiembre de 2015

Hardening de Humanos Contra Rubber-hose Cryptanalysis

Hoy estaba preparando el examen de CEH cuando en una de las 878 preguntas que me animaba a responder cuales de las siguientes técnicas no hacia falta el uso de un ordenador. Así que al echar un vistazo  a las respuestas y al encontrarme con Rubber-hose Cryptanalysis me ha entrado la curiosidad y lo he buscado. 


Para los que no sepáis lo que es un ataque Rubber-hose Cryptanalysis (Vamos, como yo esta mañana) solo decir que es un eufemismo para la extracción de secretos mediante la coacción o la tortura. Supongo que muy ético no puede ser, pero se recoge como una técnica al igual que la ingeniería social y como no esto ha dado pié a algunas tiras cómicas. 

La verdad es que es buena xD

Pero como toda vulnerabilidad (dentro de lo que cabe es una vulnerabilidad en el funcionamiento de la criptografía) hay gente que ha tratado de secularizarla o parcherla. De esta manera, en 2012 en el simposio de seguridad de USENIX, Hristo Bojinov de la universidad de Stanford presento la ponencia Neuroscience Meets Cryptography: Designing Crypto Primitives Secure Against Rubber Hose Attacks. 

En esta ponencia y en el paper que viene con ella si describe como enseñar a una persona una clave criptografia a través de un videojuego si que ella sea consciente del código en cuestión. Para resumirlo, si habéis jugado a juegos de lucha (con combos largos) o al Guitar Hero y os abreis fijado que al final acabas memorizando los movimientos por pura mecánica y si en cualquier momento te preguntaran por una parte intermedia de la canción no sabría decir en que posición estaba la "nota" o que botón tenias que apretar.  Pues partiendo de esta base y haciendo lo mismo con mas de un sujeto haciendo le aprender a cada uno un pedazo del código, se consigue que aunque torturen a esa persona ella no sepa el código que tendría que decir aunque lo quisiera.

Os dejo el enlace a la ponencia:
Y aquí tenéis el paper: 
La verdad es que es un tema curioso para tratarse de seguridad informática y no veremos a mucha gente hablar de estas cosas tan abiertamente. Bueno, ahora ya si que tenemos entera la novela de Tom Clancy xD

Para mas información os recomiendo que entreis en la fuente:
Sed Buenos ;) 

No hay comentarios:

Publicar un comentario en la entrada