Puncte:0

Cunoștințele despre algoritm pot fi folosite pentru a reduce anonimatul?

drapel us

Aceasta este o ipoteză un pic nebunească, dar cred că ilustrează cel mai bine ceea ce vreau să întreb.

Scenariu + Întrebare

Există o rețea de stocare în cloud distribuită și descentralizată care începe să devină populară. Un lucru pe care oamenii le place la ea este faptul că se presupune că oferă utilizatorilor tone de confidențialitate pe care nu o pot obține de la alternative precum Dropbox.

Documentele tehnice ale companiei afirmă că soluția lor este mai privată decât celelalte, deoarece aplicația lor criptează fișierele tuturor (partea clientului) înainte de a fi trimise în rețea. Astfel, nodurile (distribuite și descentralizate; să spunem ca Torrent), nu au nicio idee care este conținutul (din moment ce este criptat).

Dilemă potențială evidentă

Acceptând ceea ce s-a spus mai sus, întrebarea evidentă aici devine: „Cum poate rețeaua să recupereze conținutul solicitat de la utilizator?”.

La aceasta trebuie răspuns pentru că:

  1. Rețeaua trebuie să poată identifica conținutul în cauză

  2. Totuși, nu este nevoie de autorizare aici; dacă utilizatorul nu are chei de decriptat, ele rămân cu blob (există problema DDoS, dar aceasta este în afara domeniului de aplicare aici).

Soluția comună este de a face conținutul datelor adresabil prin codificarea acestuia printr-un algoritm hash (cum ar fi Blake3, de exemplu). De dragul conciziei, vă voi lăsa pe toți să completați spațiile libere pentru toate celelalte lucruri mici care trebuie configurate, astfel încât serverul să poată prelua datele respective.

Să presupunem că acele măsuri au fost implementate pentru această rețea.

Faceți cunoștință cu „Raina”, vedeta porno

notă pentru modificări: Acesta nu este un troll. Știu că ideea de „porno” în sine este încă tabu în curentul mainstream în mare măsură, dar acesta este o parte din motivul pentru care acest ipotetic a fost creat pentru această întrebare.Într-o lume în care consecințele participării la industria porno pot varia de la stigmatizarea socială la pedepsirea [punitivă] sau chiar lapidarea.

Exemplu din viața reală: În urmă cu câțiva ani, o actriță de film pentru adulți, pe nume „Belle Knox”, a făcut titluri în întreaga mass-media din SUA, când una dintre colege de clasă de la Universitatea Duke a decis să o „doxă” studenților și oricui altcineva căruia îi pasă după ce a văzut-o pe ea. campus și recunoscând că era aceeași femeie cunoscută doar [la acea vreme] sub numele de scenă, „Belle Knox” în filmele pentru adulți. Din anumite motive, doxxing-ul identității ei în campusul lui Duke a dus la o furtună mediatică, ceea ce, desigur, a făcut din experiența ei colegială (și viața, în general), un coșmar din acel moment înainte. La scurt timp după expunerea ei, s-a raportat că „Knox a început să primească amenințări cu violență și moarte în persoană și prin intermediul site-urilor de socializare precum Twitter și Facebook”, pe lângă controlul la nivel național, jena și umilirea publică, precum și teama de fiind victimizată de alte persoane neplăcute după ce au început să apară campanii online care pledează pentru „pândirea” ei pentru a comite diferite crime sexuale împotriva ei.

Scenariu ipotetic

nu vă faceți griji, este scurt, voi ajunge la subiect; Folosesc acest ipotetic doar pentru că mi s-a părut extrem de dificil să redactez această întrebare cu suficientă specificitate pentru a permite cititorului să înțeleagă pe deplin ce întrebam.

Raina este o vedetă de film pentru adulți. Raina este o profesionistă. Ea a filmat o mulțime de conținut de-a lungul carierei sale, pe care și-ar dori să-l păstreze în scopuri de portofoliu / să distribuie agențiilor pentru activități viitoare.

Durata obișnuită de rulare a filmelor Rainei este de obicei de 30-60 de minute sau mai mult, așa că computerul ei personal nu funcționează și nu vrea să stocheze totul pe un hard disk extern de teamă să nu piardă acel dispozitiv. Deci, ea alege să folosească această rețea de stocare în cloud distribuită și descentralizată pe care am descris-o la începutul acestei postări pentru a-și stoca datele.

Având în vedere profesia Rainei, intimitatea este importantă pentru ea. În acest univers ipotetic, dacă s-ar descoperi că arhivează și stochează în mod activ cantități voluminoase de conținut produse din mandatul ei în industria filmului pentru adulți, viața personală, finanțele și chiar siguranța generală ar fi compromise în totalitate.

Ajungerea la obiect

Ideea din spatele criptării datelor din partea clientului înainte de a le trimite către cloud distribuit este de a oferi utilizatorilor rețelei un flux de lucru simplu care să îi protejeze de privirile indiscrete. Cu toate acestea, identitatea Rainei în rețea (ca entitate solicitantă) devine cunoscută.

Deoarece este cunoscută public sub numele ei de scenă ("Raina") în calitatea de vedetă de film pentru adulți, presupunerea automată (făcută de scurgerea de informații), este că trebuie să folosească această rețea cloud distribuită pentru a-și stoca videoclipurile. Desigur, ea ar putea stoca și alt conținut (de exemplu, fotografii, documente etc.).

Întrebare principală

Să presupunem că această rețea de stocare este open source, cu cod publicat pe GitHub împreună cu documentație meticuloasă / wiki care defalcă toate detaliile granulare ale rețelei.

Aceste documente conțin schema de criptare utilizată cu rețeaua (să spunem AES-256 [oricare-mod-fișează-mai-potrivit]).

Să presupunem că hackerul este capabil să constate ce conținut pe care Raina (acum demascat) îl solicită în rețea. Este încă un blob criptat. Dar presupun că, odată ce acel blob este descoperit, snoop-ul va putea determina aproximativ cât de mare este fișierul criptat, nu?

Să presupunem că este un blob criptat de 40 GB. În opinia mea, aceasta ar fi o lovitură devastatoare pentru opsec-ul Rainei, deoarece:

A) Deoarece identitatea ei (în calitate de solicitant este acum cunoscut)

B) Faptul că este o actriță în industria porno decurge rapid din identitatea ei demascată (să presupunem în această lume ipotetică că nicio femeie normală nu este numită vreodată „Raina”; sau „numele ei porno” complet este „Raina Racks”. ').

C) Având în vedere „A” și „B”, dacă cineva este capabil să determine dimensiunea conținutului solicitat de „Raina”, cred că observatorul ar putea deduce suficient că conținutul încărcat este probabil conținutul ei filmat, fie că este arhivare/stocare pentru lansare ulterioară.

Sigur, acest lucru poate să nu dezvăluie exact ce a încărcat Raina în rețea, dar dacă presupunem că Raina nu a vrut ca nimeni să știe nici măcar natură din ceea ce încărca, confidențialitatea ei a fost expusă 100% în acest scenariu.

Mă întreb dacă criptografii care citesc acest scenariu vor fi de acord cu concluzia mea aici. Dacă da, mă întreb dacă există scheme de criptare / ofuscare care ar putea explica acest caz (desigur foarte marginal).

În încheiere: „Explicarea de ce cred că această întrebare/caz merită atenție”

Mi-a fost teamă că exemplul vedetei porno i-ar face pe cititori să respingă această postare sau poate chiar să o raporteze ca spam, dar după ce i-am luat în considerare în continuare, am decis că este o acuzare nedreaptă a participanților la acest stackexchange.

În ultimele luni, am aflat că Visa, Mastercard și alți procesatori majori de tranzacții / plăți pot refuza (și deseori fac) să permită accesul la serviciile lor dacă se descoperă că furnizorul se implică în activități pe care compania le consideră reprobabile. Pentru cei din industria sexului (Statele Unite ale Americii) (adică, actriță de film pentru adulți), nu contează dacă activitățile lor sunt 100% reglementate și legale conform legii.

Pentru femeile care își generează cea mai mare parte a veniturilor în acest mod, această acțiune le-ar putea paraliza complet capacitatea de a supraviețui. Astfel, în ipoteza noastră, nu este suficient ca conținutul Rainei să fie „ascuns”/neinteligibil singur.

Săpătură în elementul „uman” al criptografiei

Am vrut să pun această întrebare în mod special pentru că (după părerea mea), în ciuda rigoarei matematice implicate în elaborarea, evaluarea comparativă, testarea și/sau încercarea de a „crapa” o schemă criptografică, nu putem analiza acești algoritmi/funcții într-un "vid". Deși nu este întotdeauna subliniat în mod explicit în cercetare, există un element foarte real, uman, pe care trebuie să îl luăm în considerare atunci când vine vorba de criptografie și de evaluarea utilizării / eficacității acesteia. De exemplu, am văzut diverse studii, scrieri etc. de la criptografi și analiști de securitate care iau în considerare „ușurința de implementare” a unui algoritm criptografic în evaluarea lor generală a securității schemei.

Ajungerea la obiect

Aș putea fi complet greșit în această credință - dar când vom săpă în scop principal de criptare în sine (ca idee), este de a masca / ascunde complet orice date sunt criptate.

Aplicând înțelegerea mea (potențial greșită) a scopului (social/civil; nu militar sau guvernamental) al criptării, am vrut să prezint tuturor ipoteticul de mai sus pentru a vedea care sunt părerile lor despre situație.

Vă rugăm să nu ezitați să adresați/răspundeți la această întrebare în orice mod considerați adecvat. Puteți răspunde la întrebările pe care le-am pus mai sus sau pur și simplu oferiți feedback general sau gânduri despre ceea ce am scris mai sus.

Notă pentru moderatori: Dacă această postare este ștearsă, înțeleg și nu voi întreba din nou.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.