Chagua Lugha

Kupunguza Upendeleo katika Uundaji wa Nguvu ya Nenosiri ya Ulimwengu Halisi Kupitia Kujifunza Kina na Kamusi Dinamiki

Njia mpya inayotumia mitandao ya neva ya kina na mashambulizi ya kamusi dinamiki kupunguza upendeleo wa kipimo katika uchambuzi wa usalama wa nenosiri, ikitoa muundo sahihi zaidi wa adui.
computationalcoin.com | PDF Size: 1.4 MB
Ukadiriaji: 4.5/5
Ukadiriaji Wako
Umekadiria waraka huu tayari
Kifuniko cha Waraka PDF - Kupunguza Upendeleo katika Uundaji wa Nguvu ya Nenosiri ya Ulimwengu Halisi Kupitia Kujifunza Kina na Kamusi Dinamiki
Tazama Waraka PDF Pakua PDF Tafsiri PDF
Nyumbani » Nyaraka » Kupunguza Upendeleo katika Uundaji wa Nguvu ya Nenosiri ya Ulimwengu Halisi Kupitia Kujifunza Kina na Kamusi Dinamiki

1. Utangulizi

Nenosiri bado ndio utaratibu mkuu wa uthibitishaji licha ya udhaifu unaojulikana wa usalama. Watumiaji huwa wanaunda nenosiri kufuata muundo unaotabirika, na kuwafanya wawe hatarini kwa mashambulizi ya kukisia. Usalama wa mifumo kama hii hauwezi kutathminiwa kupitia vigezo vya kawaida vya kriptografia, bali unahitaji uundaji sahihi wa tabia ya adui ya ulimwengu halisi. Karatasi hii inashughulikia upendeleo mkubwa wa kipimo unaoletwa wakati watafiti wanatumia mashambulizi ya kamusi yasiyosanidiwa vyema na inayouzwa kwa urahisi, ambayo inakadiria nguvu ya nenosiri kupita kiasi na kutoa taswira isiyo sahihi ya tishio halisi.

2. Usuli wa Mada & Taarifa ya Tatizo

2.1 Upendeleo wa Kipimo katika Usalama wa Nenosiri

Uchambuzi wa usalama wa nenosiri unalenga kuunda tishio linalosababishwa na washambuliaji wa ulimwengu halisi. Hata hivyo, kuna pengo kubwa kati ya miundo ya kitaaluma ya nenosiri na mbinu za vitendo zinazotumiwa na wavunaji halisi. Washambuliaji wa ulimwengu halisi hutumia mashambulizi ya kamusi yaliyosanidiwa kwa uangalifu na kanuni za kubadilisha, mchakato unaohitaji ujuzi mkubwa wa kikoa na uzoefu kusanidi kwa ufanisi.

2.2 Mipaka ya Mashambulizi ya Kamusi ya Sasa

Uchambuzi mwingi wa usalama unategemea usanidi tuli, wa chaguo-msingi kwa mashambulizi ya kamusi. Usanidi huu hauna marekebisho ya dinamiki na usanidi wa kitaalamu wa mashambulizi halisi, na kusababisha makadirio ya nguvu ya nenosiri kupita kiasi kwa utaratibu. Upendeleo huu wa kipimo hufanya hitimisho za usalama zisikuwe na uhalali na huzuia ukuzaji wa njia za kinga zenye ufanisi.

3. Njia Iliyopendekezwa

3.1 Mtandao wa Neva wa Kina kwa Uundaji wa Ustadi wa Adui

Ubunifu mkuu ni kutumia mtandao wa neva wa kina (DNN) kujifunza na kuiga ujuzi wa siri ambao washambuliaji wataalam hutumia kuunda usanidi bora wa shambulio (jozi za kamusi na seti za kanuni). DNN hufunzwa kwenye data ya mafanikio ya shambulio ili kuunda uwezekano $P(\text{usanidi} | \text{lengo})$—uwezekano kwamba mtaalam angechagua usanidi maalum kwa seti fulani ya data lengwa.

3.2 Mikakati ya Kukisia ya Dinamiki

Kukiuka mashambulizi tuli, mfumo uliopendekezwa unaletia mikakati ya kukisia ya dinamiki. Mikakati hii inaiga uwezo wa mtaalam kurekebisha wakati wa shambulio. Mfumo unaweza kubadilisha kipaumbele cha wagombea wa kukisia au kubadilisha usanidi kulingana na matokeo ya awali kutoka kwa seti ya data lengwa, mchakati unaolingana na mikakati ya maswali inayojirekebisha katika ujifunzaji amilifu.

3.3 Mfumo wa Kihisabati

Nguvu ya nenosiri $\pi$ dhidi ya muundo wa adui anayejirekebisha $\mathcal{A}$ inafafanuliwa na nambari yake ya kukisia $G_{\mathcal{A}}(\pi)$. Lengo ni kupunguza upendeleo $\Delta$ kati ya nambari ya kukisia iliyokadiriwa kutoka kwa muundo wa kawaida $\mathcal{S}$ na muundo wa dinamiki uliopendekezwa $\mathcal{D}$ kwa usambazaji wa nenosiri $\mathcal{P}$: $$\Delta = \mathbb{E}_{\pi \sim \mathcal{P}}[|G_{\mathcal{S}}(\pi) - G_{\mathcal{D}}(\pi)|]$$ DNN huboresha kitendakazi cha hasara $\mathcal{L}$ kinachoweka adhabu kwa usanidi unaosababisha $\Delta$ kubwa.

4. Matokeo ya Majaribio

4.1 Seti ya Data na Usanidi wa Jaribio

Majaribio yalifanywa kwenye seti kadhaa kubwa za nenosiri za ulimwengu halisi (k.m., RockYou, LinkedIn). Muundo uliopendekezwa ulilinganishwa na zana za kisasa za kiotomatiki (kama vile John the Ripper na seti za kanuni za kawaida) na miundo ya sarufi isiyo na muktadha yenye uwezekano (PCFG).

4.2 Ulinganisho wa Utendaji

Maelezo ya Chati: Chati ya mstari inayoonyesha sehemu ya jumla ya nenosiri zilizovunjwa (kwenye mhimili wa y, 0 hadi 1) dhidi ya idadi ya makisio (kwenye mhimili wa x, kiwango cha logi). Mstari wa muundo uliopendekezwa wa Kamusi Dinamiki + DNN unaonyesha mwinuko mkubwa zaidi wa awali na kiwango cha juu zaidi cha jumla ikilinganishwa na mistari ya "John the Ripper (Kanuni za Chaguo-msingi)" na "PCFG ya Kawaida," ikionyesha kuwa huvunja nenosiri nyingi zaidi kwa kasi.

Matokeo yanaonyesha kuwa shambulio la dinamiki linalyoongozwa na DNN, kwa uthabiti, linavunja asilimia kubwa ya nenosiri ndani ya bajeti fulani ya makisio kuliko usanidi tuli, wa kuzalishwa kwa wingi. Kwa mfano, ilipata kiwango cha mafanikio cha juu zaidi kwa 15-25% ndani ya makisio ya kwanza ya $10^9$ kwenye seti za data zilizojaribiwa.

4.3 Uchambuzi wa Kupunguza Upendeleo

Kipimo muhimu ni kupunguzwa kwa upendeleo wa makadirio kupita kiasi. Utafiti ulipima tofauti kati ya nambari ya kukisia iliyokadiriwa na muundo wa kawaida na nambari halisi ya kukisia inayohitajika na muundo wa dinamiki. Njia iliyopendekezwa ilipunguza upendeleo huu kwa zaidi ya 60% kwa wastani, ikitoa makadirio ya nguvu ya nenosiri yanayofanana zaidi na ukweli na yenye mtazamo mbaya (yaani, salama zaidi).

5. Mfano wa Mfumo wa Uchambuzi

Mazingira: Mchambuzi wa usalama anahitaji kutathmini ukinzani wa sera mpya ya nenosiri ya kampuni dhidi ya mashambulizi ya nje ya mtandao.

Njia ya Kitamaduni (Iliyopendelea): Mchambuzi anarun zana maarufu ya kuvunja (k.m., Hashcat) na seti yake ya chaguo-msingi ya kanuni "best64" dhidi ya sampuli ya nenosiri zilizofupishwa. Zana huvunja 40% ya nenosiri baada ya makisio bilioni 1. Mchambuzi anahitimisha kuwa sera ni "yenye nguvu wastani."

Mfumo Ulipendekezwa (Usio na Upendeleo):
1. Kuchora Profaili: Muundo wa DNN kwanza unafichuliwa kwa sampuli ya nenosiri lengwa (au sampuli ya kimatabaka inayofanana) ili kukisia muundo unaowezekana wa muundo wa watumiaji.
2. Usanidi wa Dinamiki: Badala ya seti ya kanuni iliyowekwa, mfumo hutoa na kuboresha kwa kurudia mlolongo maalum wa kamusi na kanuni uliobinafsishwa kwa muundo ulioonekana (k.m., matumizi makubwa ya kifupi maalum cha kampuni + tarakimu 4).
3. Tathmini: Shambulio la dinamiki linavunja 65% ya nenosiri ndani ya bajeti ile ile ya makisio. Mchambuzi sasa anatambua sera kama dhaifu, kwani inaathirika na shambulio lililosanidiwa na la ukweli. Hii inachochea marekebisho ya sera kabla ya kutumika.

6. Matumizi ya Baadaye & Mwelekeo

  • Vivinjari vya Nenosiri vya Kukabiliana: Kuunganisha muundo huu kwenye violezo vya kuunda nenosiri ili kuwapa watumiaji maoni ya wakati halisi na ya kweli juu ya nguvu dhidi ya mashambulizi ya hali ya juu.
  • Uanzishwaji wa Viwango vya Usalama: Kuelimisha taasisi kama NIST au zinazofanana ili kusasisha miongozo ya vipima nguvu ya nenosiri na mbinu za tathmini.
  • Jukwaa za Uigaji wa Adui: Kujenga zana za kiotomatiki za timu nyekundu ambazo zinaweza kuiga kwa kweli mashambulizi ya kitaalamu ya hati za utambulisho kwa ajili ya upenyezaji wa mtihani.
  • Urekebishaji wa Vikoa Mbalimbali: Kuchunguza uhamishaji wa ujifunzaji ili kutumia muundo huu kwenye seti mpya za nenosiri zisizoonekana au lugha tofauti kwa mafunzo madogo sana.
  • Unganishaji wa Akili Bandia Inayoweza Kuelezewa (XAI): Kukuza mbinu za kuelezea kwa nini DNN inachagua kanuni fulani, na kufanya "ujuzi wa mtaalam" uwe wazi na unaoweza kukaguliwa.

7. Marejeo

  1. Weir, M., Aggarwal, S., Medeiros, B., & Glodek, B. (2009). Password Cracking Using Probabilistic Context-Free Grammars. Katika IEEE Symposium on Security and Privacy.
  2. Ur, B., et al. (2015). How Does Your Password Measure Up? The Effect of Strength Meters on Password Creation. Katika USENIX Security Symposium.
  3. Melicher, W., et al. (2016). Fast, Lean, and Accurate: Modeling Password Guessability Using Neural Networks. Katika USENIX Security Symposium.
  4. Taasisi ya Kitaifa ya Viwango na Teknolojia (NIST). (2017). Miongozo ya Utambulisho wa Dijitali (SP 800-63B).
  5. Wang, D., et al. (2016). The Tangled Web of Password Reuse. Katika NDSS.
  6. Goodfellow, I., et al. (2014). Generative Adversarial Nets. Katika Advances in Neural Information Processing Systems (NeurIPS). (Iliyotajwa kwa msukumo wa kimetodolojia kwenye uundaji wa adui).

8. Uchambuzi wa Asili & Uhakiki wa Mtaalamu

Uelewa Mkuu: Karatasi hii inatoa ukweli muhimu, unaopuuzwa mara nyingi: muundo wa kisasa zaidi wa nenosiri hauna thamani ikiwa haushiki akili ya vitendo ya washambuliaji wa ulimwengu halisi. Waandishi wanatambua kwa usahihi kwamba chanzo cha msingi cha upendeleo sio ukosefu wa utata wa algoriti, bali ukosefu wa huruma ya adui. Utafiti mwingi, kama kazi ya msingi ya PCFG ya Weir et al., unalenga kuiga tabia ya mtumiaji. Pasquini et al. wanabadilisha mwelekeo kwa kulenga kuiga tabia ya mshambuliaji—mabadiliko madogo lakini makubwa. Hii inalingana na mwelekeo mpana zaidi katika usalama kuelekea uundaji wa adui unaoongozwa na data, ukikumbusha jinsi Mitandao ya Kuzalisha Adui (GANs) inavyowapanga mitandao miwili dhidi ya wenyewe ili kufikia ukweli.

Mtiririko wa Kimantiki: Hoja yao inavutia. Wanaanza kwa kutambua upendeleo (Sehemu ya 2), tatizo lililothibitishwa kwa uzoefu katika kazi ya awali kama ile ya Ur et al. juu ya kutokuwa sahihi kwa vipima nguvu. Suluhisho lao ni zuri na lina pande mbili: (1) Kuweka Utaalamu Kiotomatiki kwa kutumia DNN—uchaguzi wa kimantiki kutokana na mafanikio yake katika kushika muundo changamano, wa siri katika nyanja kama uzalishaji wa picha (CycleGAN) na lugha asilia. (2) Kuanzisha Dinamiki, kusonga kutoka kwa shambulio tuli, linalofaa kwa wote hadi shambulio linalojirekebisha na linalolenga. Hii inaiga mzunguko wa maoni endelevu wa mshambuliaji halisi, dhana inayoungwa mkono na miongozo inayokua ya NIST inayosisitiza uthibitishaji unaotambua muktadha.

Nguvu & Kasoro: Nguvu kuu ni athari yake ya vitendo. Kwa kupunguza upendeleo wa makadirio kupita kiasi kwa ~60%, wanatoa zana ambayo inaweza kuzuia ujasiri wa hatari katika sera za nenosiri. Matumizi ya DNN kutoa "ujuzi wa siri wa mtaalamu" ni ya ubunifu. Hata hivyo, njia hii ina kasoro. Kwanza, kimsingi ni ya kurudi nyuma; DNN hujifunza kutoka kwa data ya shambulio la zamani, na inaweza kukosa muundo mpya, unaokua wa watumiaji au ubunifu mpya wa washambuliaji. Pili, ingawa ina upendeleo mdogo, ni sanduku nyeusi. Mchambuzi hawezi kuelewa kwa urahisi kwa nini kanuni fulani ilipatiwa kipaumbele, jambo muhimu kwa kuunda sera za kinga. Ukosefu huu wa uelezaji ni ukosoaji wa kawaida wa DNN katika miktadha ya usalama. Mwishowe, gharama ya kompyuta ya kufunza na kuendesha muundo wa dinamiki ni kubwa ikilinganishwa na kuendesha seti rahisi ya kanuni.

Uelewa Unaoweza Kutekelezwa: Kwa watendaji na watafiti wa usalama, karatasi hii ni amri ya mabadiliko. Acheni kutumia usanidi wa kawaida wa kuvunja katika tathmini zenu. Zitazie kama msingi ulio na kasoro, sio kiwango cha dhahabu. Mfumo uliowasilishwa hapa unapaswa kuunganishwa katika mifereji ya tathmini ya sera za nenosiri. Kwa watengenezaji wa zana, wito ni kujenga vipengele vya kuvunja vinavyojifunza na kujirekebisha ndani ya zana kuu kama Hashcat au John the Ripper. Kwa taaluma, hatua inayofuata ni wazi: unganisha njia hii ya kuiga mshambuliaji na uundaji imara wa mtumiaji (kama kazi ya mtandao wa neva ya Melicher et al.) na kuingiza uelezaji (mbinu za XAI) ili kuunda mfumo wa tathmini wa nguvu ya nenosiri unaoonekana wazi, wa jumla na wa kweli kabisa. Mustakabali wa usalama wa nenosiri hauko katika kuunda nenosiri zenye nguvu zaidi, bali katika kuunda njia zenye akili zaidi—na zenye uaminifu zaidi—za kuzivunja.