2017.W30 - 实务上的密码学应用
> 有没有一种方式 告诉妳方法但依然让你不知道答案
## 前言 ##
不知道有没有人曾经好奇过 为什么都告诉你密码怎样算了 (算法)
但是还是没有一个有效的破解密码方式
## 内容 ##
可以参考 2017.W19 - 椭圆曲线加密 ECC 的内容
这次讲的是更一般的概念 密码学如何使用才会比较安全
这篇 Slide[0] 的内容提到如何在白箱环境上做加密方案的攻击
白箱 (white-box) 代表拥有完全自主的测试环境与任意操作的程式
除了不一定有原始码之外 通常代表着拥有绝对自主的测试
对密码学来说是一个严酷的考验：完全考验加密算法的实作与设计架构
概念上来说我们知道 越长的金钥代表着越好的防护等级
用暴力破解的概念 纯数字的密码一定比数字字母混合的密码还要弱
同样的 具有不可逆的特性也会比可逆的算法还要安全
除了针对算法攻击的方式外 还有所谓的旁道攻击 (Side-Channel attach)[2]
可以参考 2017.W08 - Side-Channel Attack 的内容
也就是透过非密码学本身的方式 (e.g. 电量、时间) 来破解密码
或者是利用差分攻击 (Differential Fault analysis) [3] 借由修改部分资料来推算原本的金钥
之前提过的内容中说过 密码学都建构在已知的数学难题上
但还可能因为若干种实作上的瑕疵 降低整个系统的安全强度
原则来说 只需要有足够多的密文就能够反推原本使用的金钥
所以对于不同的系统 最好使用不同的金钥来加密
当然 解密用的金钥也千万不要 hardcode 在系统当中
有兴趣可以参考 CVE 中各种 hardcode credentials 的案例
另一种常犯的密码学错误 则是使用固定的 IV[4]
可以想像 IV 就是 Hash 中使用到的 Salt 这是用来加强整体安全性的机制
一个好的 IV 需要使用到全随机数 但实务上会使用伪随机数产生器 (PRNG)
每次加密都使用新的 IV 来避免攻击者收集足够多的内容 来反推原本的金钥
延伸这个概念与一开始提到的 有能力的话可以针对每一个装置使用独特的金钥来加密
像透过一个密钥 + 装置的独特 UUID 来当作是新的密钥来加密
则这个装置的密钥 1) 只有拥有密钥的开发者 2) 知道 UUID 才有办法重新产生
[0]: https://www.slideshare.net/linecorp/practical-attacks-on-commercial-whitebox-cryptography-solutions
[1]: https://zh.wikipedia.org/zh-tw/%E7%99%BD%E7%9B%92%E6%B5%8B%E8%AF%95
[2]: https://zh.wikipedia.org/zh-tw/%E6%97%81%E8%B7%AF%E6%94%BB%E5%87%BB
[3]: https://zh.wikipedia.org/wiki/%E5%B7%AE%E5%88%A5%E9%8C%AF%E8%AA%A4%E5%88%86%E6%9E%90
[4]: https://zh.wikipedia.org/wiki/%E5%88%9D%E5%A7%8B%E5%90%91%E9%87%8F