StopCovid: असेंबली में बहस से पहले एन्क्रिप्शन एल्गोरिथम को क्यों बदला जाएगा

0 0

असेंबली डिबेट से कुछ दिन पहले स्टॉपकॉइड को अंतिम मिनट में परिवर्तन प्राप्त होगा। डेवलपर्स उपयोगकर्ताओं के छद्म नाम की गारंटी के लिए आवश्यक एन्क्रिप्शन एल्गोरिथ्म पर Cnil और Anssi की सिफारिशों का पालन करेंगे।

के डेवलपर्स StopCovid की सिफारिशों को अपनाने में लंबा समय लगा CNIL और Anssi, डेटा सुरक्षा मुद्दों पर दो संदर्भ प्राधिकरण। StopCovid कोड के नवीनतम संस्करण में 12 मई को प्रकाशित Inria द्वारा, एप्लिकेशन ने उपयोगकर्ता आईडी को एन्क्रिप्ट करने के लिए 3DES एल्गोरिथ्म का उपयोग किया, जो एप्लिकेशन में सबसे संवेदनशील जानकारी है।

हालांकि, इस बुढ़ापे के एल्गोरिथ्म को अधिकारियों द्वारा दो सप्ताह से अधिक समय पहले हतोत्साहित किया गया था, जिन्होंने स्किनी -64 / 192 नामक एक और हालिया एन्क्रिप्शन एल्गोरिथ्म को प्राथमिकता दी थी।

स्टॉपकॉइड एप्लिकेशन डिकॉन्फ़िनेशन के साथ था, 27 मई को बैठक में इस पर बहस होगी। // स्रोत: नुमेरमा के लिए लुईस ऑडरी

शोधकर्ताओं ने ट्विटर पर इस समस्या का उल्लेख करने के बाद, इन्रिया ने घोषणा की कि स्कीनी को अगले सप्ताह (27 मई को होने वाले मतदान से कुछ दिन पहले) लागू किया जाएगा ... जब यह एक बड़ा बदलाव है ।

3DES में कई दोषों को अच्छी तरह से जाना जाता है: दुर्भावनापूर्ण अभिनेता StopCovid के खिलाफ पहले से मौजूद हमले परिदृश्यों को अनुकूलित कर सकते थे। उन्हें निश्चित रूप से बहुत सारी जानकारी पर कब्जा करने की आवश्यकता होगी, लेकिन वे आवेदन द्वारा गारंटीकृत छद्म नाम को उठा सकते थे। वे तब बीमार लोगों की पहचान करने में सक्षम हो सकते थे या यह भी जान सकते थे कि एक दिन के दौरान उन्हें किन लोगों का सामना करना पड़ा। बहुत अधिक हालिया स्किनी एल्गोरिथ्म में कोई ज्ञात दोष नहीं है।

आपकी पहचान को सुरक्षित रखने वाला एन्क्रिप्शन प्रश्न किया गया था

एक अनुस्मारक के रूप में, फ्रांस ने एक स्टॉपकोविड चुना है केंद्रीकृत प्रोटोकॉल - रॉबर्ट - जो इनेरिया ने विकसित किया है। इस दृष्टिकोण में, एक केंद्रीय सर्वर (राज्य द्वारा नियंत्रित), प्रत्येक उपयोगकर्ता के लिए एक विशिष्ट पहचानकर्ता उत्पन्न करेगा। यदि सरकार गुमनामी के अपने वादों को सुनिश्चित करना चाहती है तो इस पहचानकर्ता को यथासंभव गुप्त रहना चाहिए।

स्मार्टफोन (और इसलिए एक व्यक्ति को) के लिए पहचानकर्ता को सौंपना मुश्किल बनाने के लिए, स्टॉपकॉइड इस पहचानकर्ता के लिए एक एन्क्रिप्शन मॉड्यूल एम्बेड करेगा। एक एल्गोरिथ्म नियमित अंतराल (हर 15 या 30 मिनट) पर अद्वितीय पहचानकर्ता को एन्क्रिप्ट करेगा। हर बार, विशिष्ट पहचानकर्ता को अलग तरीके से एन्क्रिप्ट किया जाएगा।

स्कीनी नई और अधिक मजबूत है

ये नए पहचानकर्ता - जिन्हें छद्म शब्द भी कहा जाता है - संपर्क ट्रेसिंग के केंद्र में हैं, क्योंकि उपयोगकर्ता उनका आदान-प्रदान करेंगे। यदि आप दिन के दौरान अपने पड़ोसी से 3 बार पार करते हैं, तो उसके स्मार्टफोन ने आपके साथ तीन अलग-अलग छद्म नामों का आदान-प्रदान किया होगा, जो सभी उसके अद्वितीय पहचानकर्ता से जुड़े होंगे।

नियमित अंतराल पर, आपका स्मार्टफोन उन छद्म नामों की सूची भेजेगा जिन्हें आपने केंद्रीय सर्वर से पार कर लिया है। मशीन यह पहचान करेगी कि उनमें से एक कोविद -19 के साथ किसी से जुड़ा हुआ है, जिस स्थिति में आपको सतर्क किया जाएगा और आपको संगरोध करने की सलाह दी जाएगी।

3DES और स्किनी -64 / 192 के बीच चुनाव इसलिए आवश्यक था, क्योंकि यह एल्गोरिथ्म है जो उपयोगकर्ताओं के छद्म शब्द उत्पन्न करेगा। " यदि एन्क्रिप्शन बहुत कमजोर है, तो एक व्यक्ति जिसके पास पर्याप्त डेटा है, छद्म शब्द को समझने और पहचानने में सक्षम होगा कि कौन से व्यक्ति एक ही व्यक्ति के हैं। ", यूनिवर्सिटी ऑफ लिमोज में क्रिप्टोग्राफी में शोधकर्ता ओलिवियर ब्लेज़ को चेतावनी देते हैं।

प्रस्तुत कार्य अधिकारियों की सिफारिशों का अनुपालन नहीं करता था

12 मई को StopCovid कोड की पहली रिलीज की कड़ी आलोचना हुई उसकी शून्यता। लेकिन ओलिवियर ब्लेज़ ने एक दिलचस्प विवरण नोट किया: प्रकाशित संस्करण में उपयोग किया जाने वाला एन्क्रिप्शन एल्गोरिदम 3 डीईएस है, एल्गोरिथ्म रॉबर्ट के पहले संस्करणों से चुना गया था, लेकिन नियामकों द्वारा आलोचना की गई थी।

में अपने StopCovid परियोजना पर राय 26 अप्रैल को प्रकाशित CNIL " एक्सचेंजों की अखंडता और गोपनीयता सुनिश्चित करने के लिए, केवल अत्याधुनिक क्रिप्टोग्राफिक एल्गोरिदम को लागू किया जाना चाहिए। " आयोग ने आगे भी और 3DES एल्गोरिथ्म के उपयोग की ओर इशारा किया: " राष्ट्रीय सूचना प्रणाली सुरक्षा एजेंसी (Anssi) द्वारा प्रकाशित सामान्य सुरक्षा संदर्भ प्रणाली के अनुसार, इस एल्गोरिथ्म को सिद्धांत रूप में उपयोग नहीं किया जाना चाहिए। »

3DES के इस पहले विरोध के बाद, Anssi ने बारी-बारी से प्रकाशित किया कुछ सिफारिशें। 3DES के उपयोग पर टिप्पणी किए बिना (Cnil द्वारा उल्लिखित इसकी रूपरेखा दस्तावेज़ में आलोचना की गई), साइबर सुरक्षा के सवालों पर फ्रांसीसी संदर्भ एजेंसी एक और एल्गोरिथ्म का उपयोग करने की सलाह देती है: " छद्म नामों के एन्क्रिप्शन के बारे में, ANSSI SKINNY-64/192 एन्क्रिप्शन एल्गोरिथ्म के उपयोग की सिफारिश करता है। यद्यपि हाल ही में, इस एल्गोरिथ्म का व्यापक रूप से अध्ययन किया गया है और इसके विश्लेषण से सुरक्षा के मामले में कोई कमजोरी नहीं हुई है। यह उत्कृष्ट प्रदर्शन भी प्रदान करता है। "अनसी ने 12 मई को इस राय को दोहराया 56 सिफारिशों की सूची StopCovid के पहले प्रकाशन में शामिल। एल्गोरिथ्म के परिवर्तन के लिए एजेंसी "प्रमुख" प्राथमिकता देती है।

StopCovid ने उम्र बढ़ने के एन्क्रिप्शन का उपयोग क्यों किया?

विडंबना यह है कि 2018 में, Inria - फ्रांसीसी अनुसंधान केंद्र जो रॉबर्ट प्रोटोकॉल विकसित करता है - ने 3D एन्क्रिप्शन सहित कई एन्क्रिप्शन एल्गोरिदम की खामियों का फायदा उठाने के लिए एक हमला विकसित किया था। उस समय के शोधकर्ताओं ने इस तरह के एजिंग एन्क्रिप्शन एल्गोरिदम को हटाने का सवाल पूछा था। Apple, मोज़िला, माइक्रोसॉफ्ट या यहां तक ​​कि ओपन एसएसएल ने तब एल्गोरिथ्म को कोठरी में रखा था, जैसे ZDNet ने कहा.

आज इसका उपयोग कम और कम होता है। लेकिन फिर, Inria ने आखिरी क्षण तक इस एल्गोरिदम को क्यों रखा? यूनिवर्सिटी ऑफ लिमोज के शोधकर्ता, जिनसे हमने कार्यक्रम के अंतिम मिनट परिवर्तन से पहले संपर्क किया, एक कारण खोजने के लिए संघर्ष किया: " 3DES को लागू करना आसान हो सकता है, क्योंकि Android और iOS के लिए कई लाइब्रेरी हैं। लेकिन पूर्ण शब्दों में, यदि एप्लिकेशन अच्छी तरह से बनाया गया है, तो स्कीनी पर स्विच करने के लिए एन्क्रिप्शन मॉड्यूल को बदलें। »

बहस सभी कार्डों को हाथ में लिए बिना होगी

स्किनी का देर से गोद लेना सभी अधिक आश्चर्यजनक है क्योंकि एक एल्गोरिथ्म से दूसरे में परिवर्तन इसलिए वास्तव में बाहर ले जाने के लिए जटिल नहीं है। सिफारिशों और कोड के पहले प्रकाशन के बीच 14 से अधिक दिन बीत गए।

अगर अंतिया ने इस आवश्यक बदलाव को करने के लिए प्रतिबद्ध किया है, तो ये अंतिम मिनट के परिवर्तन ओलिवियर ब्लाज़ी की चिंता करते हैं: " ऐप दो हफ्तों में ऐप स्टोर पर उपलब्ध होना चाहिए, और हमारे पास एक परिभाषित संस्करण तक पहुंच भी नहीं है। परियोजना के संगठन में, यह एक आश्चर्यजनक विकल्प है, क्योंकि ऐप के प्रकाशित होने पर वे टिप्पणियों में डूब जाएंगे।। "

एक का फोटो क्रेडिट: नुमेरमा के लिए लुईस ऑडरी

एक्सप्रेसवीपीएन के बारे में

ExpressVPN, के अनन्य विज्ञापनदाता cyberwar, एक प्रीमियम वीपीएन प्रदाता है। इसके दुनिया भर में हजारों सुरक्षित सर्वर हैं, जिससे इसके आईपी पते को स्थानांतरित करना और जियोब्लॉक को बायपास करना संभव हो गया है। ExpressVPN उपयोगकर्ता गतिविधि का ट्रैक नहीं रखता है। कंप्यूटर, मोबाइल और राउटर पर उपलब्ध इसका वीपीएन एप्लिकेशन बाजार में सबसे उन्नत में से एक है।

पर अधिक जानकारी एक्सप्रेसवीपीएन का वीपीएन समाधान

सोशल नेटवर्क पर साझा करें

यह आलेख पहले दिखाई दिया https://cyberguerre.numerama.com/5250-stopcovid-pourquoi-lalgorithme-de-chiffrement-va-etre-remplace-a-quelques-jours-de-la-sortie.html#utm_medium=distibuted&utm_source=rss&utm_campaign=5250

एक टिप्पणी छोड़ दो

आपका ईमेल पता प्रकाशित नहीं किया जाएगा।