Préoccupations de sécurité de ProtonMail

Cependant, le serveur doit stocker une forme du mot de passe de la boîte aux lettres afin que l'utilisateur puisse être authentifié. Si une violation de sécurité se produira sur le serveur, ne serait-ce pas seulement une question de temps pour un pirate informatique déterminé (et un pilier puissant, si, par exemple, un gouvernement décide d'être un) pour déterminer le mot de passe de la boîte aux lettres de véritable?

La sécurité concerne les compromis. Il est parfois dit que le seul ordinateur sécurisé est celui qui est débranché de toute source d'alimentation, verrouillée dans un coffre-fort, scellé dans du béton, assis au bas de la Mariana Trench . J'ajouterais probablement que cela ne doit avoir aucun appareil à l'intérieur capable de stocker des informations. Un tel ordinateur serait (relativement) sécurisé, mais , il ne serait pas très convivial, facile à utiliser ou particulièrement utile pour un but réel. Quelque chose de plus utile que cela doit échanger certains degré de sécurité pour sa convivialité.

Maintenant, après avoir dit que la question reste: pouvons-nous atténuer des menaces raisonnables ? Il s'avère que oui, nous pouvons réellement.

Les algorithmes cryptographiques modernes sont très résistants aux attaques. même SHA1, qui est en cours de coucher de soleil pour être plus faible que prév (aussi de - Google ) est encore plus solide pour la plupart des cas d'utilisation; C'est être du coucher du soleil parce qu'il s'est avéré qu'il ne s'agissait pas aussi fort que nous croyions que c'était Pour ce cas d'utilisation spécifique particulier. Cela ne signifie pas que SHA-1 est cassé; Cela signifie simplement que nous avons des raisons de passer à quelque chose de plus fort.

Au moins dans le public, , nous n'avons aucune idée de la manière dont nous aborderions même l'attaque AES-256 (en supposant qu'il soit mis en œuvre correctement), avec succès, donné seulement un CIPHERTEXT/PAISE DE PLATEXTEXT (une "récupération clé" ou "force brute" Attack). Wikipedia donne la meilleure attaque de récupération de la clé publique connue publiquement de l'AES-256 à 2 ^ 254.4 Complexité , et même avec des quantités ridicules de données disponibles. Qui réduit le temps d'environ un tiers aux deux tiers (2 ^ -0,6 ~ 0,6596, 2 ^ -1,6 ~ 0,3299; rappelez-vous qu'en moyenne, le facteur de travail pour casser une clé N-bit par force brute est 2 ^ (N- 1) Parce que, avec une clé choisi au hasard, vous voulez en moyenne Je l'ai trouvé après avoir recherché la moitié de l'espace clé, avec des possibilités allant de la trouver au premier essai de le trouver après avoir testé chaque touche. Dans l'espace clé), ce qui signifie qu'une attaque que nous pensions devoir prendre totalement totalement complètement exponentielle plus longue que la durée de vie de l'univers ne prend que totalement presque presque exponentiellement plus longue que la durée de vie de l'univers. La différence de 0,6 ou même 1,6 bits de sécurité est totalement insignifiante dans la pratique , et probablement éclipsé par les problèmes de la génération de nombres aléatoires de la session ou de la persistance génération de clé étape. nous ne pouvons même pas réaliste compter à 2 ^ 128 dans une quantité de temps raisonnable , encore moins faire quelque chose d'utile avec la valeur comptée et 2 ^ 256 est une autre 2 ^ 128 fois plus difficile.

Même si l'entité qui tente de casser le cryptage a accès à un ordinateur quantique, algorithme de grover ne réduit que le temps de recherche (en termes d'opérations élémentaires) d'environ O (2 ^ (N-1)) à environ O (2 ^ (n/2)), ce qui signifie qu'une clé de 256 bits vous donne le même efficace Sécurité contre un adversaire capable quantique car une clé de 128 bits vous donne contre un attaquant classique. Cela est devenu un argument majeur pour les clés de 256 bits dans la cryptographie symétrique; Contre un attaquant classique, à l'image de toutes les fins pratiques, comme illustré, 128 bits suffisent pour fournir un bon niveau de sécurité, mais en utilisant 256 bits de clé fournit un filet de sécurité si des ordinateurs quantiques s'avèrent être viables à plus grande échelle. (Notez que cela concerne la cryptographie symétrique, pas L'échange de clé! De nombreux algorithmes de cryptage asymétriques, y compris RSA, seraient complètement dévastées Par exemple algorithme de Shor face à un ordinateur quantique viable, à grande échelle et à usage général. ) C'est un pilote majeur pour le travail vers ce qui a été appelé cryptographie post-quantum .

La probabilité que vous utilisiez un mot de passe fournissant n'importe où près de 256 bits d'entropie est fondamentalement zéro. Pour la comparaison, vous auriez besoin d'un morceau de 20 mots correctement généré DICWare Passhrase pour obtenir 258 bits d'entropie, correspondant à 100 rouleaux d'un dés parfaitement juste à six faces; agrafe correcte de la batterie de chevaux Vous n'obtiendrait que 52 bits d'entropie s'il s'agissait d'une passhrasphrase dicware correctement générée et non connue publiquement (elle, et probablement toutes les permutations de celui-ci, est presque certainement dans chaque dictionnaire de mot de passe sur le Planète d'ici maintenant), qui à n billion de devine par seconde (environ 2 ^ 40 devine/seconde) durerait 2 ^ 11 à 2 ^ 12 secondes ou sur l'ordre de une heure. Ce n'est rien de plus qu'un inconvénient mineur à l'attaquant. Cependant, il y a Rien ne vous empêche d'utiliser un mot de passe à entropie élevé. ProtonMail ne semble pas imposer de restrictions arbitraires sur la longueur du mot de passe, donc si vous le souhaitez, vous êtes libre de générer et d'utiliser une phrase phraséphrase de dicware de 20-25 mots pour assortie de sécurité qui peut être obtenue théoriquement par AES-256.

comme Lucas a souligné en incorporant la garantie de la bande dessinée XKCD " , il y a des chances que un attaquant n'attaquerait pas les primitives cryptographiques; Ils vont aller après autre chose. Il n'est pas nécessaire d'impliquer de vous frapper avec une clé; Il pourrait s'agir de quelque chose de plus banal comme à distance briser dans votre ordinateur , ou briser dans votre maison (Peut-être pour installer un enregistreur de clé physique, ou pour essayer d'avoir la main sur les informations Cela les aidera à contourner le cryptage tel que des copies non protégées ou des mots de passe écrits) ou se mettre à la main sur des envois et faire des choses intéressantes avec eux que vous n'êtes pas d'accord avec, ou écoutant à distance dans les émissions causées par votre ordinateur pendant les opérations normales ou vous obligeant à coopérer à travers une forme de chantage ou d'autre posture de puissance. Parce que faisons quelque chose de très clair: si le gouvernement ciblons vous spécifiquement, et ne vous inquiétez pas en prenant des mesures qui montrent cela, alors ils Will Trouver un moyen d'extraire ce dont ils ont besoin. La grâce d'épargne d'une manière est que la plupart des gens ne sont pas spécifiquement ciblés et/ou ne valent pas ce niveau d'exposition, mais sont simplement rattrapé dans la surveillance de dragnet . (Bien que si un adversaire de niveau gouvernemental se rendit plus tard dans le fait qu'elles s'intéressent spécifiquement à vous, cela permet de revenir en arrière et de rechercher des communications plus anciennes, il peut éventuellement trouver quelque chose d'incrimination également. Quand vous ne pouvez pas savoir si ou pas vous êtes ciblé ou ce qu'ils auraient pu avoir s'ils choisissent de vous cibler plus tard, cela devient un problème.)

Il existe également des moyens des moyens de veiller à ce que quelqu'un connaisse un mot de passe sans avoir le mot de passe stocké de n'importe quelle forme récupérable. Hachage (-- hmacs ) basé en partie sur le mot de passe, protaux de la connaissance zéro ou simplement calculer un hachage cryptographique sur une citation aléatoire donnée et stockant uniquement le plainte chiffré et le hachage crypté (Si la clé de cryptage est liée au mot de passe, les deux ne peuvent être récupérés que comme une paire de correspondance si le mot de passe est correct), sont toutes façons que cela puisse être accompli.

Il y a façons de ralentir les attaquants. des algorithmes de cryptage comme Blowfish Accomplir cela en ayant un compliqué (et lent) calendrier clé , ou nous pouvons utiliser une fonction de dérivation à fonctionnement lente fonction de dérivation de clé telle que correctement réglable PBKDF2 , BCRYPT , Scypt ou Autres avec des algorithmes avec des horaires de clé moins complexes (tels que AES). L'idée ici est de faire attaquer le mot de passe (relativement basse-entropie) presque aussi difficile que d'attaquer directement la clé de cryptage, tout en conservant la pénalité de performance de la conversion du mot de passe à la clé de cryptage suffisamment petite pour ne pas déranger un humain qui utilise le service. Si la KDF est allumée tout le chemin jusqu'à onze , cela peut faire attaquer un mot de passe de entropie raisonnable assez pratique sans gêner beaucoup un utilisateur humain. (Vous ne remarquerez probablement pas un délai de 500 à 1000 ms lors de la connexion, mais si chaque mot de passe jugé prend une demi-seconde normalement, même avec des implémentations hautement optimisées ou de grandes quantités de matériel puissant, cela met un dent majeur dans combien de mots de passe peuvent être essayé même dans une attaque hors ligne dans une période donnée.)

Bien que rien de tout cela ne soit nécessairement Comment ProtonMail a spécifiquement résolu le problème, J'espère que avec ce qui précède, je montre que , tandis que le problème existe en théorie, c'est aussi très un problème qui est parfaitement solvable dans la pratique. Tout logiciel cryptographique écrit de manière compétente va utiliser un mélange de ces techniques, ainsi que d'autres.