Kako kompleksnost ili jednostavnost bezbednosnih parametara utiču na bezbednost kripto valuta?
Da li loše izabrana lozinka privlači napadače?
Dr Goran Kunjadić, specijalista za IT bezbednost i kriptozaštitu, nam u kolumni ove nedelje otkriva koliko je važan pravilan odabir lozinke.
Kripto valute zasnivaju svoje funkcionisanje na blokčejn tehnologiji. Samu tehnologiju smo u više navrata opisivali u prethodnim nastavcima. Same valute nose prefiks „kripto“ jer kriptografske operacije čine matematičku osnovu na kojoj ceo sistem počiva.
Kriptografija predstavlja način sakrivanja informacija pri čemu su informacije koje se šalju dostupne samo za to određenom primaocu. Postoje dve osnovne vrste kriptografije, simetrična i asimetrična.
Kod simetrične kriptografije se poruka šifruje ključem a primalac je dešifruje tim istim ključem. Zaključujemo da pošiljalac i primalac poruke moraju imati isti ključ. Ukoliko bi ključ bi kompromitovan, odnosno, ukoliko bi neko treći uspeo da sazna ključ. Sa lakoćom bi mogao da dešifruje sve poruke i prati komunikaciju između dva entiteta.
Izazov koji se ovom prilikom javlja je kako da pošiljalac i primalac na bezbedan način razmene kriptografski ključ a da pri tome budu sigurni da ga niko treći nije presreo i saznao? Postoje bezbedni algoritmi za razmenu kriptografskog ključa, ali je moguće kompromitovati ključ na razne druge načine a ne samo prilikom razmene odnosno, uspostavljanja sesijskog ključa.
Simetrično šifrovanje je pouzdano i koriste se algoritmi kao što su: DES, 3DES, AES, Blowfish i drugi. Problem nastaje kada je više učesnika u komunikaciji i kada je potrebno da svi učesnici međusobno razmene ključeve. Ume da bude malo komplikovano.
Asimetrična kriptografija funkcioniše tako što svaki od učesnika u komunikaciji poseduje dva ključa: javni i tajni. Javni ključ je poznat svima dok je privatni ili tajni ključ poznat samo korisniku koji ga bezbedno čuva. Poruke se mogu šifrovati javnim ključem i tada poruku može otvoriti isključivo korisnik svojim tavnim ključem.
Obrnuto, ako korisnik šifruje poruku svojim tajnim ključem može je otvoriti bilo ko javnim ključem korisnika pri čemu je potpuno siguran ko je autor poruke. Zavisi već šta je cilj šifrovanja. Možemo zaključiti da ukoliko napadač kompromituje tajni ključ korisnika, može u celosti preuzeti njegov digitalni identitet. U svetlu kripto valuta, napadač može potpuno preuzeti kompletan iznos kripto valuta kojima žrtva raspolaže.
Postavlja se pitanje kako saznati tajni ključ korisnika?
Prvo da kažemo da je ključ zapravo broj. Najčešće se koristi u heksadecimalnom zapisu mada nije problem prevesti broj iz jednog brojnog sistema u drugi, recimo u dekadni ili binarni. Ukoliko ključ ima dužinu od 256 bita to znači da se sastoji iz 256 nula ili jedinica u binarnom kodu. Kombinacija je očigledno veoma mnogo. Ipak, napadači su pažljivim posmatranjem vlasnika kripto valuta otkrili da dobar broj njih poseduje veoma jednostavne privatne ključeve.
Recimo ključ napisan u heksadecimalnom obliku kao: 0x0000000000000000000000000000000000000000000000000000000000000001 je više nego jednostavan. Ukoliko više vlasnika kripto valuta ima ovakav privatni ključ, preuzimanje njihovih koina je zaista trivijalno. Slične ključeve je imao veliki broj korisnika dok su im lozinke takođe bile veoma jednostavne, na primer: abc123. Na ovaj način je ukradena vrednost od oko 50 miliona dolara kripto valuta!
Ispostavilo se da nije snaga napadača u njihovoj superiornosti već u slabostima i nemaru napadnutih entiteta. Zato je potrebno pažljivo da razmislimo i uložimo trud kako naši kriptografski elementi koji štite našu imovinu ne bi bili isuviše jednostavni. U tom slučaju ćemo gotovo sigurno postati žrtva napada.
(Telegraf.rs)