SOPG: Uundaji wa Nenosiri Unaotegemea Utafutaji kwa Mtandao wa Neva Unaorejelea Yenyewe

Yaliyomo

1. Utangulizi
2. Mazingira na Kazi Inayohusiana
3. Mbinu ya SOPG
4. Utekelezaji wa Kiufundi: SOPGesGPT
- 4.1 Muundo wa Mfano
- 4.2 Ukadiriaji wa Uwezekano na Utafutaji
5. Matokeo ya Majaribio na Uchambuzi
6. Mfumo wa Uchambuzi na Mfano wa Kesi
7. Matumizi ya Baadaye na Mwelekeo wa Utafiti
8. Marejeo
9. Uchambuzi wa Asili na Ufahamu wa Mtaalamu

1. Utangulizi

Nenosiri bado ndio njia kuu ya uthibitishaji wa mtumiaji kwa sababu ya urahisi na kubadilika kwake. Kwa hivyo, kukisia nenosiri ni sehemu muhimu ya utafiti wa usalama wa mtandao, muhimu kwa ajili ya majaribio ya usalama ya kushambulia (k.m., majaribio ya kuingilia, urejesho wa nenosiri) na tathmini ya nguvu ya ulinzi. Mbinu za jadi, kutoka kwa mashambulizi yanayotegemea kanuni hadi miundo ya takwimu kama vile minyororo ya Markov na PCFG, zina mapungufu ya asili katika uwezo wa kuongezeka na kubadilika.

Ujio wa kujifunza kwa kina, hasa mitandao ya neva inayorejelea yenyewe kama vile GPT, iliahidi mabadiliko makubwa kwa kujifunza usambazaji tata wa nenosiri moja kwa moja kutoka kwa data. Hata hivyo, uangalizi muhimu umekuwa mkakati wa uundaji. Mbinu za kawaida za kuchagua sampuli (k.m., uchaguzi wa nasibu, top-k) hutoa nenosiri kwa mpangilio wa nasibu, na kusababisha ufanisi mdogo sana: viwango vya juu vya nakala zinazofanana na kushindwa kutoa kipaumbele kwa nenosiri zenye uwezekano wa juu (na kwa hivyo zinazowezekana zaidi) mapema katika shambulio. Karatasi hii inatangaza SOPG (Uundaji wa Nenosiri Unaotegemea Utafutaji), mbinu mpya ambayo inalazimisha mfano unaorejelea yenyewe kuunda nenosiri kwa mpangilio wa takriban unaopungua wa uwezekano, na hivyo kuongeza sana ufanisi wa mashambulizi ya kukisia nenosiri.

2. Mazingira na Kazi Inayohusiana

2.1 Mabadiliko ya Kukisia Nenosiri

Kukisia nenosiri kumebadilika kupitia awamu tofauti:

Mashambulizi Yanayotegemea Kanuni na Kamusi: Yalitegemea kanuni za mikono na orodha za maneno. Yalitegemea sana ujuzi wa mtaalamu na yalikuwa na uwezekano mkubwa wa kupoteza muundo mpya.
Miundo ya Takwimu (k.m., Markov, PCFG): Ilianzisha mfumo wa uwezekano. Miundo kama OMEN na FLA ilionyesha utendaji ulioboreshwa lakini ilipambana na ujumuishaji na usambazaji wa mkia mrefu.
Enzi ya Kujifunza kwa Kina: Miundo kama PassGAN (inayotegemea GANs), VAEPass (inayotegemea VAEs), na PassGPT (inayotegemea GPT) hutumia mitandao ya neva kuiga usambazaji tata, wa vipimo vingi vya nenosiri bila uhandisi wa sifa za mikono.

2.2 Mbinu za Mtandao wa Neva

Miundo inayorejelea yenyewe, kama vile GPT, inafaa hasa kwa uundaji wa nenosiri kwa sababu inaiga uwezekano wa mlolongo kwa kila alama: $P(nenosiri) = \prod_{t=1}^{T} P(c_t | c_1, ..., c_{t-1})$. Hii inaruhusu uundaji wa nenosiri zenye urefu tofauti na kukamata utegemezi wa muktadha kwa ufanisi.

2.3 Tatizo la Mpangilio wa Uundaji

Ufanisi mdogo wa msingi uliotambuliwa na waandishi sio uwezo wa mfano lakini mpangilio wa uundaji. Uchaguzi wa nasibu kutoka kwa mfano uliofunzwa hutoa nenosiri bila kuzingatia uwezekano wao. Kwa shambulio la kamusi linalofanikiwa, kuunda nenosiri zenye uwezekano wa juu kwanza ni muhimu sana. SOPG inashughulikia hili kwa kubadilisha uchaguzi wa nasibu na algorithm ya utafutaji iliyoelekezwa.

3. Mbinu ya SOPG

3.1 Kanuni ya Msingi

SOPG hubadilisha uundaji wa nenosiri kutoka kwa mchakato wa nasibu kuwa tatizo la utafutaji bora-kwanza. Lengo ni kupitia nafasi ya mlolongo unaowezekana wa nenosiri (mti) kwa mpangilio ambao hutoa mlolongo kutoka kwa ukadiriaji wa juu hadi chini wa uwezekano.

3.2 Algorithm ya Utafutaji

Mbinu hii hutumia foleni ya kipaumbele (k.m., tofauti ya utafutaji wa boriti au algorithm ya upanuzi wa uwezekano). Katika kila hatua, mlolongo wa sehemu wenye uwezekano wa jumla wa juu zaidi hupanuliwa kwa alama moja. Uwezekano wa mlolongo wa sehemu $s = (c_1, ..., c_k)$ unakadiriwa na mfano: $P(s) = \prod_{t=1}^{k} P(c_t | c_1, ..., c_{t-1})$. Utafutaji unaendelea hadi hali ya kumalizika (k.m., alama ya mwisho wa mlolongo) itimizwe, na kutoka nenosiri kamili. Nenosiri linalofuata linatengenezwa kwa kuanza tena utafutaji kutoka kwa mlolongo wa sehemu unaofuata bora zaidi kwenye foleni.

Fomula Muhimu ya Upanuzi wa Mlolongo: Wakati wa kupanua nodi (mlolongo wa sehemu), kipaumbele kwa mlolongo mpya wa mgombea $s'$ (uliotengenezwa kwa kuongeza alama $c$ kwenye $s$) ni uwezekano wake wa pamoja: $Kipaumbele(s') = P(s) \cdot P(c | s)$. Utafutaji daima hupanua nodi iliyo na kipaumbele cha juu zaidi cha sasa.

3.3 Ujumuishaji na Miundo Inayorejelea Yenyewe

SOPG haitegemei mfano. Inatumia mfano uliofunzwa tayari unaorejelea yenyewe (k.m., tofauti ya GPT) kama mkadiriaji wa uwezekano $P(c_t | muktadha)$. Algorithm ya utafutaji hupanga wito kwa mkadiriaji huu ili kuchunguza kwa utaratibu nafasi ya mlolongo.

4. Utekelezaji wa Kiufundi: SOPGesGPT

4.1 Muundo wa Mfano

Waandishi wanaweka SOPGesGPT, mfano wa kukisia nenosiri uliojengwa kwenye muundo wa GPT (k.m., vitalu vya kihifadhi vya Transformer) na kufunzwa kwenye mkusanyiko wa nenosiri zilizovuja. Mfano hujifunza usambazaji wa kiwango cha herufi/baite ya nenosiri halisi.

4.2 Ukadiriaji wa Uwezekano na Utafutaji

Wakati wa uundaji, SOPGesGPT haichagui sampuli tu. Badala yake, kwa mlolongo wa sehemu uliopewa, inahesabu usambazaji wa uwezekano juu ya msamiati mzima wa alama inayofuata. Algorithm ya SOPG hutumia uwezekano huu kupanga na kusimamia mpaka wa utafutaji kwenye foleni yake ya kipaumbele.

Vipimo Muhimu vya Utendaji (Kifikra)

Kiwango cha Ufunikaji
Asilimia ya nenosiri lengwa zilizovunjwa kutoka kwa seti ya majaribio.

Kiwango cha Ufanisi
Kiwango cha nenosiri za kipekee na halali zilizotengenezwa.

Ufanisi wa Uhitimu
Idadi ya wito za mfano/vikisio vinavyohitajika kufikia ufunikaji fulani.

5. Matokeo ya Majaribio na Uchambuzi

5.1 Usanidi wa Majaribio

Majaribio yalifanywa kwenye seti za data halisi za nenosiri zilizovuja (k.m., RockYou). Mfano ulifunzwa kwenye sehemu ya data, na utendaji wake wa kukisia ulitathminiwa dhidi ya seti ya majaribio iliyohifadhiwa.

5.2 Ulinganisho na Uchaguzi wa Nasibu

Matokeo: SOPG dhidi ya Uchaguzi wa Nasibu wa Kawaida kutoka kwa mfano huo wa msingi wa GPT.

Kuondoa Nakala Zinazofanana: SOPG kwa asili hutoa nenosiri za kipekee; uchaguzi wa nasibu hutoa nakala nyingi zinazofanana.
Ufanisi wa Mpangilio: Ili kufikia kiwango sawa cha ufunikaji (k.m., 10%), SOPG ilihitaji uhitimu chache sana na ilitengeneza nenosiri chache sana kwa jumla kuliko uchaguzi wa nasibu. Hii ni kwa sababu uundaji wa mpangilio wa SOPG "hupiga" nenosiri zinazowezekana mapema zaidi.

Maana ya Chati: Grafu ya ufunikaji-dhidi-ya-idadi-ya-vikisio ingeonyesha mkunjo wa SOPG unapanda kwa kasi mapema, wakati mkunjo wa uchaguzi wa nasibu ungepanda polepole na kwa mstari, na kuonyesha ufanisi bora wa shambulio.

5.3 Ulinganisho na Mbinu Bora za Sasa

Matokeo: SOPGesGPT ililinganishwa na OMEN, FLA, PassGAN, VAEPass, na PassGPT katika jaribio la tovuti moja.

Kiwango cha Ufunikaji: SOPGesGPT ilifikia kiwango cha ufunikaji cha 35.06%.
Uboreshaji wa Jumla: Hii inawakilisha ongezeko la 254% juu ya OMEN, 298% juu ya FLA, 421% juu ya PassGAN, 380% juu ya VAEPass, na 81% juu ya PassGPT.
Kiwango cha Ufanisi: SOPGesGPT pia iliongoza katika kiwango cha ufanisi cha uundaji wa nenosiri.

Maana ya Chati: Chati ya baa inayolinganisha viwango vya ufunikaji vya mifano yote ingeonyesha baa ya SOPGesGPT ikiwa mrefu zaidi kuliko zote, na kuthibitisha kwa macho utendaji wake bora.

5.4 Vipimo Muhimu vya Utendaji

Majaribio yanaonyesha wazi kuwa SOPG inatatua ufanisi mdogo wa msingi wa kukisia nenosiri kwa neva. Faida ya utendaji sio hasa kutoka kwa mfano bora wa msingi (ingawa GPT ni nzuri), lakini kutoka kwa mkakati wa uundaji wa mpangilio ambao unahakikisha kila kisio kinafanikiwa iwezekanavyo.

6. Mfumo wa Uchambuzi na Mfano wa Kesi

Muktadha: Kampuni ya usalama imepewa kazi ya kukagua nguvu ya nenosiri ya mfumo wa kampuni. Wana mfano wa nenosiri unaorejelea yenyewe uliofunzwa.

Njia ya Jadi (Uchaguzi wa Nasibu): Mkaguzi hutengeneza nenosiri milioni 10. Kwa sababu ya nasibu na nakala zinazofanana, nenosiri yenye uwezekano wa juu "JinaLaKampuni2023!" inaweza kuonekana tu baada ya vikisio milioni 5, na kupoteza wakati na rasilimali za kompyuta.

Njia Iliyoboreshwa na SOPG: Kwa kutumia mfano huo huo na SOPG, mkaguzi hutengeneza nenosiri kwa mpangilio wa uwezekano unaopungua. "JinaLaKampuni2023!" na muundo mwingine wa kawaida huonekana ndani ya vikisio 100,000 vya kwanza. Ukaguzi hufikia tathmini ya mwisho ya udhaifu (k.m., "30% ya nenosiri za watumiaji zinaweza kuvunjwa kwa vikisio 1M") kwa kasi ya mara nyingi na kompyuta chache.

Hitimisho la Mfumo: SOPG hutoa mfumo wa utaratibu, wenye ufanisi wa kubadilisha mfano wa uwezekano kuwa zana ya shambulio yenye mavuno makubwa, na kuongeza ufaidi wa uwekezaji kwa kila uhitimu wa mfano.

7. Matumizi ya Baadaye na Mwelekeo wa Utafiti

Vikaguzi vya Nguvu ya Nenosiri ya Kukabiliana: Ujumuishaji katika mifumo ya uundaji wa nenosiri wa wakati halisi ili kuiga mashambulizi yanayotegemea SOPG na kukataa nenosiri dhaifu mara moja.
Mafunzo ya Usalama Yaliyoboreshwa: Kutumia orodha zilizotengenezwa na SOPG kuunda orodha nyeusi za "nenosiri za kawaida" za kweli zaidi kwa wasimamizi wa mfumo.
Kujifunza kwa Mashine ya Kupingana: Kujifunza ufanisi wa SOPG kunaweza kusababisha ulinzi bora, kama vile kubuni sera za nenosiri au algorithm za kuchanganya ambazo ni thabiti zaidi kwa vikisio vilivyopangwa na vya akili.
Zaidi ya Nenosiri: Kanuni ya SOPG inaweza kutumika kwa kazi nyingine za uundaji zinazorejelea yenyewe ambapo matokeo yaliyopangwa kwa uwezekano yanafaa, kama vile kutengeneza kesi za majaribio kwa ajili ya kuchunguza programu au kuchunguza nafasi za misombo ya kemikali katika ugunduzi wa dawa.
Utafiti juu ya Ufanisi wa Utafutaji: Uboreshaji zaidi wa algorithm ya utafutaji yenyewe (k.m., kutumia heuristics ngumu zaidi, sambamba) ili kushughulikia hata nafasi kubwa zaidi za nenosiri.

8. Marejeo

M. Jin, J. Ye, R. Shen, H. Lu, "Search-based Ordered Password Generation of Autoregressive Neural Networks," Manuscript Under Review.
J. T. G. H. M. Weir, "Using Probabilistic Context-Free Grammars for Password Guessing," katika Proceedings of the 5th USENIX conference on Offensive technologies, 2009.
A. Radford, et al., "Language Models are Unsupervised Multitask Learners," OpenAI Blog, 2019. (Karatasi ya msingi ya GPT)
B. Hitaj, et al., "PassGAN: A Deep Learning Approach for Password Guessing," katika Proceedings of the 16th International Conference on Applied Cryptography and Network Security, 2019.
M. Pasquini, et al., "PassGPT: Password Modeling and (Guessed)Strength Evaluation with Large Language Models," arXiv preprint arXiv:2306.01745, 2023.
P. G. Kelley, et al., "Guess Again (and Again and Again): Measuring Password Strength by Simulating Password-Cracking Algorithms," katika IEEE Symposium on Security and Privacy, 2012.

9. Uchambuzi wa Asili na Ufahamu wa Mtaalamu

Ufahamu wa Msingi: Uzuri wa karatasi hii sio katika kubuni muundo mpya wa neva, lakini katika kutambua na kurekebisha kwa usahihi kasoro muhimu, lakini iliyopuuzwa, ya kimfumo katika matumizi ya mifano yenye nguvu ya AI. Inatambua kuwa kwa kukisia nenosiri, mpangilio wa uundaji sio undani tu wa utekelezaji—ni sababu ya maamuzi kati ya mfano wenye nguvu wa kinadharia na silaha yenye ufanisi wa vitendo. Hii hubadilisha mwelekeo wa utafiti kutoka kwa uwezo wa mfano safi (mbio za silaha zenye mapato yanayopungua, kama inavyoonekana katika maendeleo kutoka PassGAN hadi PassGPT) hadi uboreshaji wa mkakati wa uundaji, uboreshaji wa algorithm na wa msingi zaidi.

Mtiririko wa Mantiki: Hoja hii ni rahisi na ya kulazimisha: 1) Miundo inayorejelea yenyewe inafanya vizuri katika kujifunza usambazaji wa nenosiri. 2) Uchaguzi wa nasibu kutoka kwa usambazaji huu haufai sana kwa shambulio. 3) Kwa hivyo, lazima tuchague sampuli kwa akili. Suluhisho la SOPG—kutibu uundaji kama utafutaji bora-kwanza juu ya mti wa uwezekano—ni tafsiri nzuri na ya moja kwa moja ya mantiki hii kuwa algorithm. Inatumia uwezo wa msingi wa mfano (ukadiriaji wa uwezekano) kuongoza uchunguzi wake mwenyewe, na kuunda mzunguko mzuri wa ufanisi.

Nguvu na Kasoro: Nguvu haina shaka: uboreshaji wa 81-421% juu ya wenzao ni ushindi mkubwa katika uwanja uliokomaa, na kuthibitisha umuhimu mkubwa wa dhana. Mbinu hiyo pia haitegemei mfano kwa uzuri, na kuifanya kuwa bora ya kuziba kwa mfano wowote wa nenosiri unaorejelea yenyewe. Hata hivyo, kasoro inayowezekana, iliyokubaliwa kwa njia isiyo ya moja kwa moja, ni mzigo wa kompyuta kwa kila nenosiri. Kudumisha na kuuliza foleni ya kipaumbele ni ghali zaidi kuliko hatua moja ya kuchagua sampuli. Karatasi inapingana hili kwa kuonyesha kupunguzwa kwa kiasi kikubwa cha nenosiri zinazohitajika kwa ufunikaji, na kufanya usawa huo kuwa mzuri sana. Kasoro ya kina kwa washambuliaji wa ulimwengu halisi ni dhana ya upatikanaji wa moja kwa moja wa uwezekano wa usambazaji wa matokeo ya mfano, ambayo inaweza kushindwa dhidi ya mifumo iliyothibitishwa kwa kutumia kuchanganya kwa hali ya juu (kama Argon2) au pilipili. Kama ilivyoelezwa katika utafiti wa 2012 wa Kelley et al. juu ya kuiga algorithm za kuvunja, mfano wa tishio la ulimwengu halisi ni tata.

Ufahamu Unaoweza Kutekelezwa: Kwa wataalamu wa usalama wa mtandao, karatasi hii ni amri: ondoa mara moja tathmini yoyote ya nguvu ya nenosiri inayotumia uchaguzi wa sampuli wa kijinga kutoka kwa mifano ya AI. Zana lazima zijumuishe uundaji wa mpangilio kama wa SOPG ili kutoa tathmini halisi ya hatari. Kwa watafiti, njia wazi: mpaka unaofuata ni mbinu mseto. Unganisha utafutaji wa mpangilio wa SOPG na faida za kuepuka mgawanyiko wa hali ya GANs au uchunguzi wa nafasi ya siri ya VAEs. Zaidi ya hayo, kwa kuwa mifano kubwa ya lugha (LLMs) inakuwa ya hali nyingi, "kukisia nenosiri" ya baadaye kunaweza kuhusisha kutengeneza maneno ya siri yanayowezekana kulingana na data ya mtu iliyokusanywa kutoka kwa mitandao ya kijamii, na SOPG ikiongoza uundaji. Jamii ya ulinzi lazima ijibu kwa namna ile ile, na kuendelea zaidi ya kanuni za muundo kukuza matumizi ya wasimamizi wa nenosiri na upitishaji wa kawaida wa viwango vya FIDO2/WebAuthn, kama ilivyopendekezwa na miongozo ya NIST, ili kufanya hata mashambulizi yenye ufanisi zaidi ya kukisia kuwa ya zamani.