Win een miljoen met het kraken van een onbreekbare code
Codekrakers die een miljoen dollar en een goed betaalde baan voor de rest van hun leven willen verdienen mogen hun borst nat maken voor een wedstrijd georganiseerd door Certicom, een aanbieder van wireless security oplossingen. Iedereen die de code van Certicom's produkten kan kraken, kan zich miljonair noemen. De onbreekbare codes maken gebruik van de Elliptic Curve Cryptology (ECC), een combinatie van algebra en algoritmes die ervoor moeten zorgen dat berichten en e-mails, van en naar mobiele telefoons of Blackberry PDAs, niet gehackt kunnen worden. Meer over deze onbreekbare code staat in dit artikel vermeld.
immers zelf binnen kunnen komen...
Er bestaan geen onbreekbare codes. De eigenaar van de code moet
immers zelf binnen kunnen komen...
Ok dan wordt de titel:
"Win een miljoen met het kraken van een 'praktisch'
onbreekbare code" :-D
De theorie om het te kraken is er allang alleen de CPU-tijd
die deze theorie nodig heeft is praktisch niet haalbaar.
Dus de enige oplossing om dit algoritme aan te vallen is óf
de huidige CPU's 100.000 keer sneller maken óf een veel
snellere (niet-exponentieel of subexponentieel) theorie
bedenken (wat tot nu toe nog niemand gelukt is maar ook niet
bewezen is dat het niet kan).
http://www.schneier.com/crypto-gram-9911.html#EllipticCurvePublic-
KeyCryptography
Hij concludeert dat het wel een goede techniek kan zijn, maar dat de
methode weliswaar al heel lang bestaat in de wiskunde, maar niet in de
computer security. Het moet zich dus nog bewijzen.
In ieder geval zijn er tot nu toe vele, vele claims van unbreakable ciphers
geweest, waarvan er nog nooit 1 waar is gebleken. Enige relativering is
dan ook wel op z'n plaats, wat ik bij het verwezen artikel wel vind....
ps moet dat niet cryptoGRAPHY zijn ipv cryptology?? Anyway, het artikel
waar naar wordt verwezen gebruikt die term ook
crypto + unbreakable = "what would Schneier say". Wel, dat staat hier:
http://www.schneier.com/crypto-gram-9911.html#EllipticCurvePublic-
KeyCryptography
Hij concludeert dat het wel een goede techniek kan zijn, maar dat de
methode weliswaar al heel lang bestaat in de wiskunde, maar niet in de
computer security. Het moet zich dus nog bewijzen.
In ieder geval zijn er tot nu toe vele, vele claims van unbreakable ciphers
geweest, waarvan er nog nooit 1 waar is gebleken. Enige relativering is
dan ook wel op z'n plaats, wat ik bij het verwezen artikel wel vind....
ps moet dat niet cryptoGRAPHY zijn ipv cryptology?? Anyway, het artikel
waar naar wordt verwezen gebruikt die term ook
Ha, dat is een mooie, blijkbaar bevinden computer security en wiskunde
zich in verschillende realiteiten waardoor als iets in de wereld van de
wiskunde is bewezen het niet per definitie in de wereld van computer
security geldt.
Een otp is overigens bewijsbaar onbreekbaar.
er fouten in de implementatie zijn gemaakt (denk maar aan WEP). Het
kan dus wel degelijk zo zijn dat het wiskundig allemaal klopt maar
het (nog) niet goed werkt als computer security oplossing.
Een veilig encryptie protocol kan omzeep geholpen worden doordat
er fouten in de implementatie zijn gemaakt (denk maar aan WEP). Het
kan dus wel degelijk zo zijn dat het wiskundig allemaal klopt maar
het (nog) niet goed werkt als computer security oplossing.
In dit geval gaat het daar dus niet over. Het is overigens ook geen protocol.
De ecc challenge loopt al enkele jaren en bevestigt tot nu toe de
verwachtingen ten aanzien van de kwaliteit van ecc.
Je kan dit overigens zelf implementeren en controleren of de output van je
eigen implementatie overeenkomt met die van de leverancier; doet het dat,
dan is de kans op een implementatiefout wel heel erg klein. Laat Schneier
maar kletsen.
van je eigen implementatie overeenkomt met die van de leverancier; doet
het dat, dan is de kans op een implementatiefout wel heel erg klein. Laat
Schneier maar kletsen.
de inmplementatie. Het criterium is niet of je de juiste uitkomst hebt, da's
nl. niet zo moeilijk. Wat gebeurt er als je bijv. het systeem reset ? Kun je
dan met je eigen implementatie garanderen dat er geen bruikbare
informatie in het geheugen achterblijft ? En in je Pagefile ? Of in een temp-
bestandje ? Dit is niet te overzien en daarom is het zelf implementeren van
cryptografische algoritmes niet verstandig.
Hoe lang een chalange loopt zegt helemaal niets over de kwaliteit van een
algoritme, zie Schneider.
van je eigen implementatie overeenkomt met die van de leverancier; doet
het dat, dan is de kans op een implementatiefout wel heel erg klein. Laat
Schneier maar kletsen.
de inmplementatie. Het criterium is niet of je de juiste uitkomst hebt, da's
nl. niet zo moeilijk. Wat gebeurt er als je bijv. het systeem reset ? Kun je
dan met je eigen implementatie garanderen dat er geen bruikbare
informatie in het geheugen achterblijft ? En in je Pagefile ? Of in een temp-
bestandje ? Dit is niet te overzien en daarom is het zelf implementeren van
cryptografische algoritmes niet verstandig.
Hoe lang een chalange loopt zegt helemaal niets over de kwaliteit van een
algoritme, zie Schneider.
Zucht...
1) De man heet Schneier, niet Schneider
2) Wat jij beschrijft staat al helemaal los van de challenge waar het hier
over gaat
3) Het zelf implementeren van een algoritme is een methodiek om te
controleren of een leverancier eea. juist heeft geimplementeerd
4) Je begrijpt de uitvoering van de challenge niet; de uitdaging is niet het
uitlezen van bijvoorbeeld jou Microsoft Windows Pagefile maar een ecc
code kraken van een bepaalde moeilijkheidsgraad. Van te voren is
bedacht hoeveel inspanning, rekenkracht nodig is (de kwaliteit), als
iemand er in slaagt de code te kraken krijgt hij een prijs. Heeft hij er minder
inspanning voor hoeven te verrichten dan verwacht, dan pas heeft men een
echt probleem: de kwaliteit is dan lager dan verwacht.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (Operationele Techniek)
bij HHNK
Heb jij een passie voor informatiebeveiliging en wil je jouw expertise inzetten in een organisatie met impact? Solliciteer nu! Bij HHNK hechten we veel waarde aan de veiligheid van onze informatie en systemen. Met een breed scala aan operationele techniek (OT) voor onze taken, is het essentieel om deze veilig te houden.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.