NIST eliptik eğrileri tohumlarını kıran ve bunları üretmek için karma olan orijinal ifadeleri keşfeden ilk kişinin 12.288 dolarlık bir ödül açıklandı.
Ödül alıcısı tutarı 501 (c) (3) hayır kurumuna bağışlamayı seçerse, ödül 36.864 dolara üç katınacaktır.
Bu zorluk, kriptografi ve siber güvenlik alanındaki tanınmış figürlerin yardımıyla miktarı artıran kriptografi uzmanı Filippo Valsorda tarafından duyuruldu.
Buna Johns Hopkins Üniversitesi profesörü Matt Green, PKI ve Chromium katkıda bulunan Ryan Sleevi, tarayıcı güvenlik uzmanı Chris Palmer, "Logjam Saldırısı" geliştiricisi David Adrian ve AWS kriptografi mühendisi Colm Maccárthaigh dahildir.
Eliptik eğri kriptografisinde (ECC), tohumlar, şifreleme algoritması veya kriptografik anahtarlar üretme işlemi için başlangıç girişi olarak kullanılan değerler veya değer kümeleridir.
ECC, nispeten kısa ama güvenli anahtarlar üretmek için sonlu alanlar üzerinde tanımlanan eliptik eğrilerin matematiksel kavramına dayanır. Eğrileri kullanma, seçilen bir nokta için (üzerinde), bu noktanın katını (skaler) üretmek için kullanılan ve şifreleme temelini sağlayan hesaplamalı olarak mümkün olmasını sağlar.
NIST eliptik eğrileri (P-192, P-224, P-256, P-384 ve P-521), 2000 yılında ajansın 'Dijital İmza Standardı' için 186-2 FIPS ile tanıtıldı ve modern kriptografi için çok önemli olan , 1997 yılında NSA tarafından sağlanan tohumlar kullanılarak üretilmiştir.
Eğriler katsayısı ve rastgele bir tohum değeri ile belirtilirken, anahtarları türetmek için deterministik süreç şeffaftır ve gizli güvenlik açıklarının korkusunu hafifletmek için doğrulanabilir.
Son kullanıcılar ve geliştiriciler doğrudan bu tohumlarla etkileşim kurmak zorunda değildir, bunun yerine seçilen şifreleme protokolündeki eğri parametrelerini kullanır. Bununla birlikte, sistemin bütünlüğü ve güvenliği ile ilgili olanlar, tohumların kökeni ile gerçekten ilgilenmektedir.
Kimse orijinal tohumların nasıl üretildiğini bilmiyor, ancak söylentiler ve araştırmalar, NSA tarafından Solinas'a sağlanan İngilizce cümlelerin karması olduğunu gösteriyor.
Solinas'ın tohumları üretmek için muhtemelen SHA-1 karma algoritması kullandığına ve muhtemelen ifadeleri sonsuza dek unuttuğuna inanılıyor.
Valsorda'nın bir blog yazısı, "Modern kriptografinin çoğunun gücünün 90'lı yılların sonlarında NSA tarafından sağlanan tohumlar ile üretilen Nist eliptik eğrileri. Tohumlar nasıl üretildi?"
"Söylentiye göre, İngiliz cümleleri karmalarına sahip, ancak onları seçen kişi Dr. Jerry Solinas, 2023'ün başlarında kriptografik bir gizem, bazı komplo teorileri ve tarihi bir şifre çatlama mücadelesi bırakarak vefat etti."
Kriptografik topluluktan endişe duyulan sesler, NSA'nın algoritmayı geri yüklediğini iddia eden Dual_ec_Drbg tartışmasından başlayarak yıllar önce başladı.
En endişe verici senaryo, NIST eğrilerine dahil edilen ve hassas verilerin çözülmesini sağlayacak kasıtlı bir zayıflık hakkında spekülasyon ve şüphecilikten kaynaklanmaktadır.
Bu senaryoları destekleyecek önemli bir kanıt olmasa da, tohumların kökenleri bilinmemektedir, toplumda korku ve belirsizlik yaratır.
NSA kasıtlı olarak seçilen zayıf eğrilerin korkunç olduğu endişelerinden kaynaklanan güvenlik sonuçları ve bunları üretmek için kullanılan orijinal cümleleri bulmak bu endişeleri bir kez ve herkes için ortadan kaldıracaktır.
Bunun dışında, bu zorluk, NIST eliptik eğrilerinin modern şifrelemede temel olduğu düşünüldüğünde tarihsel öneme sahiptir.
Ayrıca, bu esasen, özellikle Dr. Solinas'ın ölümünden sonra tüm hikayeye entrika ekleyen bir şifreleme gizemi.
Filippo Valsorda, yeterli GPU gücü ve parola brute zorlama deneyimine sahip herkesin (varsayılan) SHA-1 karmalarını kırabileceğine ve orijinal cümleleri türetebileceğine inanıyor.
En az bir ön cümlenin ilk sunumu ödülün yarısını (6.144 $) alacak ve diğer yarısı beş paket paketini gönderen ilk kişiye gidecek. Aynı kişi ise, 12 bin dolarlık ödülün tamamını alacaklar.
Zorluk ve bulgularınızı nasıl sunacağınız hakkında daha fazla ayrıntı Valsorda'nın blogunda bulunabilir.
Mali GPU Kusurları'nı hedefleyen saldırılarda sömürülen kollar uyarıyor
Modern GPU'lar yeni GPU.ZIP Yan Kanal Saldırısı'na karşı savunmasız
Windows Cryptomining saldırıları, grafik tasarımcının yüksek güçlü GPU'larını hedef hedef
Ücretsiz Anahtar Grubu Fidye Yazılımı Düzeltmeni Mağdurların Verileri Kurtarmasına Yardımcı Oldu
VMware ARIA Kritik SSH Kimlik Doğrulama Bypass kusuruna karşı savunmasız
Kaynak: Bleeping Computer